기술

Log4J 취약점

2021년 12월 10일, 많은 자바 애플리케이션에서 사용되는 보편적인 로깅 메커니즘인 Log4J에 버그가 공개되었습니다.
Rodrigo Demetrio
2분

2021년 12월 10일, 많은 Java 애플리케이션에서 사용되는 보편적인 로깅 메커니즘인 Log4J에 버그가 공개되었습니다. 여기를 클릭하여 CVE-2021-44228에 대한 자세한 정보를 찾을 수 있습니다. 이는 우리의 백엔드 애플리케이션에서 문제를 어떻게 해결했는지에 대한 빠른 업데이트입니다. 이 애플리케이션들은 대부분 Java Enterprise로 구축되었습니다.

  1. 우리는 Spring Boot 애플리케이션을 최신 버전의 Log4J로 업그레이드했습니다: org.apache.logging.log4j:log4j-bom:2.15.0
  2. 우리는 Spring Boot 애플리케이션을 JNDI 요청을 무시하도록 구성했습니다: spring: jndi: ignore: true
  1. 모든 VM은 잠재적인 정보 노출을 완화하기 위해 JVM 옵션 - Dlog4j2.formatMsgNoLookups=true로 실행됩니다.
  2. 우리의 백엔드 서비스는 공개되지 않으며 방화벽/로드 밸런서 구성 뒤에서 작동합니다. 우리는 로그와 보안 시스템을 조사하여 JNDI/LDAP 요청을 확인했지만, 어떠한 것도 찾을 수 없었으므로 우리 시스템이 이러한 취약점을 스캔받지 않았을 것으로 생각됩니다.

CVE-2021-44228로 설명된 Log4J 취약점에 대한 자세한 정보는 다음 링크에서 확인할 수 있습니다:

  • https://www.crowdstrike.com/blog/log4j2-vulnerability-analysis-and-mitigation-recommendations/
  • https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
  • https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/
  • https://github.com/YfryTchsGD/Log4jAttackSurface
Rodrigo Demetrio
Steering the marketing ship at Bureau Works with 17+ years of MarTech under my belt, I transform mere ideas into tangible realities. Passionate about languages and their power to build bridges, let's build a new one?

14일 간 무료로 Bureau Works 이용

ChatGPT 통합
지금 시작하기
첫 14일은 무료
기본 지원도 무료 제공