티스토리 뷰
작년, 2021년 12월 10일 아주아주 세계적으로 이슈가 된 아파치의 log4j 2 보안 취약 문제! (https://blog.alyac.co.kr/4341)
그 주말 새벽에 보안팀에서 연락받고나서야 긴급하게 우리 모든 서버에 올라간 소스를 열어
log4j 라이브러리를 사용하고 있는 곳이 있나 다 살펴봤다.
다행인 점은 워낙 레거시라 그런지 log4j를 써도 버전 1을 사용 중이었고,
대부분은 slf4j를 사용 중이었다.
하지만 오히려 가장 최근 소스인 Spring Boot를 사용한 서버에서는
Spring Boot에 내장된 log4j 버전 2가 빌드되어 있었다.
사용하진 않지만 빌드되어 있는 것만으로도 문제가 될까 싶어
우선 build.gradle 파일의 dependencies에 log4j 버전을,
문제를 해결했다는 2.17 버전으로 업그레이드 시켜 해결해두었다.
dependencies {
implementation("org.apache.logging.log4j:log4j-api:2.17.0")
implementation("org.apache.logging.log4j:log4j-to-slf4j:2.17.0")
}빌드하면 아래와 같이 버전이 바뀐 걸 확인 할 수 있다.
(참고 : https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot, https://ynzu-dev.tistory.com/entry/Log4j2-%EC%B7%A8%EC%95%BD%EC%A0%90-%EC%9D%B4%EC%8A%88-spring-boot-%EB%82%B4%EC%9E%A5%EB%90%9C-Log4j2-%EB%9D%BC%EC%9D%B4%EB%B8%8C%EB%9F%AC%EB%A6%AC-%EB%B2%84%EC%A0%84-%EB%B3%80%EA%B2%BD%ED%95%98%EA%B8%B0-maven-gradle-1)
'Java' 카테고리의 다른 글
| [Java] RestTemplate에서 DELETE 메소드로 Body 보내기 (0) | 2022.04.14 |
|---|---|
| [Java] The processing instruction target matching "[xX][mM][lL]" is not allowed. 에러 해결 (0) | 2022.04.14 |
| [Java] XML 파싱 라이브러리 JAXB (marshal) (0) | 2021.12.24 |
| [Java] nslookup (0) | 2021.12.24 |
| [Java] javax.net.ssl.SSLException: Certificate doesn't match any of the subject alternative names 에러 해결 (1) | 2021.12.03 |