[보안이슈] log4j 취약점 대응( 2.15, 2.16, 2.17 )
2021. 12. 16. 14:41ㆍIT개발/Java
반응형
금일 다시 KISA, CVE 공지를 확인해보니
아래와 같이 2.15, 2.16, 2.17 버전에서 취약점이 발생하였다고 한다 ㅡ,.ㅡ 단디 안할래? 확마~
PS. 자료 갱신하는것도 지쳤다...
취약점 신저점 갱신 제발 그만해~ 나 무서워~~
하여 다음과 같이 (2021-12-30일 현재) 최신버전(2.17.1) 으로 업그레이드를 진행하여 해결함.
#1 Spring MVC 메이븐설정 에서는
<properties>
...
<log4j2.version>2.17.1</log4j2.version>
...
</properties>
<!-- 중간생략 -->
<dependencies>
...
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>${log4j2.version}</version>
</dependency>
...
</dependencies>
#2 Spring boot 메이븐설정에서는 ( properties로 쉽게 수정가능하였습니다. )
<properties>
...
<log4j2.version>2.17.1</log4j2.version>
...
</properties>#3 Spring boot gradle설정에서는 ...
...
ext['log4j2.version'] = '2.17.1'
...
dependencies {
...
}참고자료
- 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
- 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105
- KISA 보안공지 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
- KISA 보안공지 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397
- LGCNS 측 대응자료 : https://blog.lgcns.com/2740
- 전자정부 측 log4j 대응자료 ( 계속 갱신중.... ) : https://www.egovframe.go.kr/home/faqinfo/faqinfoRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=68&faqId=FAQ_0000000000000812
반응형
'IT개발 > Java' 카테고리의 다른 글
| [java] Collections.shuffle(List<?> list) 리스트 내부 아이템 섞기 (0) | 2022.01.04 |
|---|---|
| [보안이슈] log4j 2.17 버전 취약점 대응(2.17.1 버전 업그레이드) (0) | 2021.12.30 |
| 전자정부측 log4j 관련 FAQ 자료 공유(2.15 버전 업그레이드) (0) | 2021.12.14 |
| 전자정부 3.8에서 jdk 13,14 버전 사용시 오류 발생! 12버전은 돌아감 (0) | 2021.03.31 |
| jenkins 배포중 java.util.zip.ZipException: error in opening zip file 에러 (0) | 2018.07.24 |