log4j 질문드려요
- 작성자 :
- 석*훈
- 작성일 :
- 2021-12-13 10:03:19
- 조회수 :
- 2,294
- 구분 :
- 개발환경 / 3.9
- 진행상태 :
- 완료
Q
전자정부 홈페이지에 해결방안이 이렇게 나와있는데
□ 해결방안[1]
o 2.0-beta9 ~ 2.10.0
- JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
o 2.10 ~ 2.14.1
- log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정
o 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용 권고[3]
[참고사이트]
[1] https://logging.apache.org/log4j/2.x/security.html
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
[3] https://logging.apache.org/log4j/2.x/download.html
pom에서
<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.15.0</version>
</dependency>
추가해줘도 적용되는 부분인가요?
□ 해결방안[1]
o 2.0-beta9 ~ 2.10.0
- JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
o 2.10 ~ 2.14.1
- log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정
o 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용 권고[3]
[참고사이트]
[1] https://logging.apache.org/log4j/2.x/security.html
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
[3] https://logging.apache.org/log4j/2.x/download.html
pom에서
<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.15.0</version>
</dependency>
추가해줘도 적용되는 부분인가요?
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 :
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터입니다.
질문하신대로 pom.xml에 다음을 추가하셔서 업데이트 하실 수 있습니다.
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.15.0</version>
</dependency>
배포시 대상서버에 WEB-INF/lib 디렉토리에
log4j-core-2.15.0.jar파일이 배포되었는지 확인하시기 바랍니다.
감사합니다.
표준프레임워크센터입니다.
질문하신대로 pom.xml에 다음을 추가하셔서 업데이트 하실 수 있습니다.
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.15.0</version>
</dependency>
배포시 대상서버에 WEB-INF/lib 디렉토리에
log4j-core-2.15.0.jar파일이 배포되었는지 확인하시기 바랍니다.
감사합니다.