12P by tkwlsrl 7달전 | favorite | 댓글 7개

java의 logging 프레임워크인 log4j에서 취약점이 보고 되었습니다.

- 영향받는 버전 : 2.0 ~ 2.14.1
- 수정 버전 >= 2.15.0-rc1
- Apache log4j 라이브러리를 사용하는 모든 시스템에 패치를 할 것을 권고

- 영향 받는 대표적인
* Apache Struts
* Apache Solr
* Apache Druid
* Apache Flink
* ElasticSearch
* Flume
* Apache Dubbo
* Logstash
* Kafka
* Spring-Boot-starter-log4j2

v08zbv8fvlkjasdflkj 6달전  [-]

아 log4j가 logging하는 함수에요?

이름만 보고 math log4인줄 알았는데

답변달기
xguru 7달전  [-]

특정 문자열이 포함된 내용을 로그로 남기면 Remote Code Execution (RCE) 이 가능한 버그 입니다.

답변달기
xguru 7달전  [-]

적용받는 범위가 원체 크다보니 국내 언론에선 "컴퓨터 역사상 최악 취약점 발견" 이라는 제목으로 낚시질 장사를 하고 계시더군요...

답변달기
kunggom 6달전  [-]

한편, 이 보안 취약점을 이용하여 마인크래프트 서버를 둠 서버로 만들어버리는 사람도 나온 모양입니다. Rip and Tear!
https://twitter.com/gegy1000/status/1469714451716882434

답변달기
budlebee 6달전  [-]

ㅋㅋㅋㅋ 마인크래프트 서버까지 둠 포팅을..

답변달기
kunggom 7달전  [-]

영향받는 제품 중 이름만 들어도 알 수 있는 제품들이 많다 보니, 영향받는 범위도 장난 아닌 모양이군요.
취약점을 재현하는 방법에 관해서는 아래 기사에 나와 있습니다.

[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit
https://pcmag.com/news/…

답변달기
tkwlsrl 7달전  [-]

SpringBoot의 경우 아래의 링크에 따라서 작업하시면 좋습니다.
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

maven
<properties>
<log4j2.version>2.15.0</log4j2.version>
</properties>

gradle
ext['log4j2.version'] = '2.15.0'

답변달기