[보안이슈] log4j 2.17 버전 취약점 대응(2.17.1 버전 업그레이드)
2021. 12. 30. 10:17ㆍIT개발/Java
반응형
엄.... 흠... 에.... 이거 언제까지 이럴껴...
레거시 시스템의 배포주기가 log4j 업그레이드 주기랑 같아지는 기적이...
암튼 거두절미하고, 취약점은 아래와 같고, 업그레이드 방법은 이전 게시물 참고하자.
취약점
- Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44832)
영향을 받는 버전
- 2.0-beta9 ~ 2.17.0 버전 (Log4j 2.3.2, 2.12.4 제외)
대응방안
- 제조사 홈페이지를 통해 최신버전으로 업데이트 적용
※ 제조사 홈페이지에 신규버전이 계속 업데이트되고 있어 확인 후 업데이트 적용 필요
- Java 8 이상 : Log4j 2.17.1으로 업데이트
- Java 7 : Log4j 2.12.4으로 업데이트 (업데이트 예정, 참고사이트 [3] 참고)
- Java 6 : Log4j 2.3.2으로 업데이트 (업데이트 예정, 참고사이트 [3] 참고)
※ log4j-core-*.jar 파일 없이 log4j-api-*.jar 파일만 사용하는 경우 위 취약점의 영향을 받지 않음
참조
- KISA 보안공지 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397
- 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2021-44832
반응형
'IT개발 > Java' 카테고리의 다른 글
| Lombok 1.18.12 VS Java 14 => Fight! (0) | 2023.01.11 |
|---|---|
| [java] Collections.shuffle(List<?> list) 리스트 내부 아이템 섞기 (0) | 2022.01.04 |
| [보안이슈] log4j 취약점 대응( 2.15, 2.16, 2.17 ) (0) | 2021.12.16 |
| 전자정부측 log4j 관련 FAQ 자료 공유(2.15 버전 업그레이드) (0) | 2021.12.14 |
| 전자정부 3.8에서 jdk 13,14 버전 사용시 오류 발생! 12버전은 돌아감 (0) | 2021.03.31 |