보안 log4j 취약점 개요 및 조치

log4j 취약점 조치 방법

CVE-2021-44228 취약점인 자바의 Log4j 라이브러리 보안 취약점이 나왔습니다. 중대한 보안 취약점이라고 하는데 어떤 취약점이고 조치 방법에 대해서 간략하게 알아보겠습니다.

개요

자바 코딩에서 프로그램 로그를 기록해주는 라이브러리입니다.

Apache Log4j 2

- 2.0-beta9 ~ 2.14.1 모든 버전

ㅇ 2.0-beta9 ~ 2.10.0

- JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

ㅇ2.10 ~ 2.14.1

- log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정