log4j2 보안취약점 조치 대상 여부 확인 요청드립니다.
- 작성자 :
- 유*현
- 작성일 :
- 2021-12-16 16:11:07
- 조회수 :
- 3,549
- 구분 :
- 실행환경 / 기타
- 진행상태 :
- 완료
Q
pom.xml에
아래와 같이 설정
<dependency>
<groupId>com.googlecode.log4jdbc</groupId>
<artifactId>log4jdbc</artifactId>
<version>1.2</version>
<exclusions>
<exclusion>
<artifactId>slf4j-api</artifactId>
<groupId>org.slf4j</groupId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.lazyluke</groupId>
<artifactId>log4jdbc-remix</artifactId>
<version>0.2.7</version>
<exclusions>
<exclusion>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
</exclusion>
</exclusions>
</dependency>
log4j2.xml파일에 아래와 같이 설정 Appenders는 console 만 사용
<Configuration>
<Appenders>
<Console name="console" target="SYSTEM_OUT">
<PatternLayout pattern="%d %5p [%c] %m%n" />
</Console>
</Appenders>
~~~
<Logger name="org.springframework" level="INFO" additivity="false">
<AppenderRef ref="console" />
</Logger>
<Root level="ALL">
<AppenderRef ref="console" />
</Root>
</Loggers>
</Configuration>
web-inf파일 lib 폴더에 아래와같이 jar 파일 위치
log4j-1.2.13.jar
log4j-api-2.8.2.jar
log4j-core-2.8.2.jar
log4jdbc-1.2.jar
log4jdbc4-1.2.jar
log4jdbc-remix-0.2.7.jar
log4j-over-slf4j-1.7.25.jar
log4j-slf4j-impl-2.8.2.jar
아래와 같이 설정
<dependency>
<groupId>com.googlecode.log4jdbc</groupId>
<artifactId>log4jdbc</artifactId>
<version>1.2</version>
<exclusions>
<exclusion>
<artifactId>slf4j-api</artifactId>
<groupId>org.slf4j</groupId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.lazyluke</groupId>
<artifactId>log4jdbc-remix</artifactId>
<version>0.2.7</version>
<exclusions>
<exclusion>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
</exclusion>
</exclusions>
</dependency>
log4j2.xml파일에 아래와 같이 설정 Appenders는 console 만 사용
<Configuration>
<Appenders>
<Console name="console" target="SYSTEM_OUT">
<PatternLayout pattern="%d %5p [%c] %m%n" />
</Console>
</Appenders>
~~~
<Logger name="org.springframework" level="INFO" additivity="false">
<AppenderRef ref="console" />
</Logger>
<Root level="ALL">
<AppenderRef ref="console" />
</Root>
</Loggers>
</Configuration>
web-inf파일 lib 폴더에 아래와같이 jar 파일 위치
log4j-1.2.13.jar
log4j-api-2.8.2.jar
log4j-core-2.8.2.jar
log4jdbc-1.2.jar
log4jdbc4-1.2.jar
log4jdbc-remix-0.2.7.jar
log4j-over-slf4j-1.7.25.jar
log4j-slf4j-impl-2.8.2.jar
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 : 3.7
- JDK(JRE) 정보 : 1.7
- WAS 정보 : 웹로직
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터입니다.
log4j-core-2.8.2.jar이 존재하므로
보안조치대상 입니다.
JDK 7 이므로 Log4j-core 2.12.2를 적용합니다.
pom.xml에 다음을 추가합니다.
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.12.2</version>
</dependency>
배포시 대상서버에 WEB-INF/lib 디렉토리에
log4j-core-2.12.2.jar 최신버전의 파일이 배포되었는지 확인합니다.
표준프레임워크 v3.7에서는 다음 설정이 추가로 필요할수 있습니다.
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-slf4j-impl</artifactId>
<version>2.12.2</version>
</dependency>
다음 자주묻는 질문을 확인하실수 있습니다.
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
감사합니다.
표준프레임워크센터입니다.
log4j-core-2.8.2.jar이 존재하므로
보안조치대상 입니다.
JDK 7 이므로 Log4j-core 2.12.2를 적용합니다.
pom.xml에 다음을 추가합니다.
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.12.2</version>
</dependency>
배포시 대상서버에 WEB-INF/lib 디렉토리에
log4j-core-2.12.2.jar 최신버전의 파일이 배포되었는지 확인합니다.
표준프레임워크 v3.7에서는 다음 설정이 추가로 필요할수 있습니다.
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-slf4j-impl</artifactId>
<version>2.12.2</version>
</dependency>
다음 자주묻는 질문을 확인하실수 있습니다.
https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
감사합니다.