2021년 12월 17일 Apache Log4j 취약점 보안조치사항입니다.
이번 조치사항의 특이사항은 1.2 버전에서 JMSAppender 사용하는 소프트웨어를 조치사항으로 포함했다는점입니다.
JMSAppender를 사용하지 않으면 취약점에 영향이 없다고하네요. (ConsoleAppender를 사용할 경우입니다.)
이번 포스팅에서는 JMSAppender사용여부확인방법과 2.x대 업데이트 불가시에 조치사항을 다뤄봤습니다.
JMSAppender 사용 여부 확인 방법
JMSAppender의 사용여부는 log4j의 설정파일에서 사용여부를 확인하면 됩니다.
아래의 log4j 설정파일에서 JMSAppender가 없으면 사용을 안하는거라 보시면 됩니다!
log4j.properties
logger.xml
logging.properties
보통 전자정부프레임워크에서 배포하는 것은 JMSAppender 가 아닌 ConsoleAppender로 배포됩니다.
아래와 같이 말이죠!
2.x대 버전 조치사항
2.x대 버전은 업데이트를 하시면 되며 신규 업데이트가 불가능할 경우 아래의 조치방안으로 조치 적용합니다.
- PatternLayout에서 ${ctsx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경
- ${ctx:loginId} 또는 $${ctx:loginId}를 제거
계속해서 조치사항들이 업데이트되면서 혼선에 혼선을 거듭하고 있지만
이러한 사항을 공유해서 모든 분들이 원활히 해결하였으면 좋겠습니다!
'JAVA' 카테고리의 다른 글
| [JAVA] String날짜 형태 비교 방법!! (compareTo 사용법) (2) | 2021.12.27 |
|---|---|
| Apache Log4j 보안이슈 대응에 대한 문의 (0) | 2021.12.21 |
| [JAVA] 객체지향 특징 및 Solid 원칙 정리!! (0) | 2021.12.08 |
| [Java] 엑셀 다운로드 기능 구현!! (영상 有) (6) | 2021.11.27 |
| [Java&Jsp] 엑셀 데이터 추출 후, 뷰페이지 확인 방법!! (0) | 2021.10.22 |
댓글