4P by xguru 8달전 | favorite | 댓글과 토론

- 문제의 원인
ㅤ→ log4가 로그를 출력할 때 로그에 사용자ID 등이 있을때 자동으로 내부에서 운영중인 LDAP 서버 등에 접속을 해서 변환하는 기능을 제공
ㅤ→ 이 기능을 이용하면 해커의 서버로 접속해서 해커가 만든 악성 코드를 서버로 다운로드 받게 하고 이 코드를 이용해서 서버를 탈취 가능
- Jenkins는 log4j를 사용하지 않아서 문제 없지만, 플러그인에서는 사용 가능하기 때문에 확인 필요