log4j 보안이슈 해결

마인크래프트게임회사에서 보안취약점을 이용한 해킹을 시도하면서 보안이슈가 밝혀졌다고 한다.

log4j 2.0- ~ 2.14.1 모든 버전에서 해당 취약점이 발생했다고한다.

 

과학기술정보통신부(장관 임혜숙, 이하 ‘과기정통부’)는 Apache Log4j 2 서비스에 대한 보안취약점('로그4셸'로 명명)이 발견됨에 따라 긴급 보안업데이트를 권고했다.
출처 : 데일리시큐(https://www.dailysecu.com)

 

해결방법 

1. log4j 를 버전 2.15버전 이상으로 업데이트한다. (라이브러리교체)

• 웹서버 pom.xml 에   <log4j2.version>2.10.0</log4j2.version> 해당부분을 2.15.0으로 변경한다, 
   

    <log4j2.version>2.15.0</log4j2.version>

그리고 maven clear -> maven update 해서 log4j파일이 2.15로 업데이트되었는지 확인한다. 

1.2.17.jar파일도 남아있었는데 해당사항이 없을거라해서 일단 지우지않기로했다.

 

 

2. 1번은 JAVA8 이상에서만 된다구한다 JAVA7 에서는 둘중 하나로 해결

 

   1) JVM 환경변수에서 다음을 추가
      -Dlog4j2.formatMsgNoLookups=true

  2) OS 환경변수에서 다음을 추가 합니다.
       LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정