오늘 출근했더니 키사에서 'Apache 소프트웨어 Log4j 2에서 발생하는 취약점 보안 업데이트 권고 안내' 라고 메일이 날아왔네요. 내용 보니 꽤 심각한 이슈 같더군요
JndLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
라는 보안 조치 하라고 안내하더군요.
회사에서 Java 관련하여 쓰이는 서버는 윈도서버 1, 리눅스 2 인데
윈도 서버야 제껴두고, 리눅스에서 톰캣 때문에 아파치 관련 프로그램이 깔려져 있습니다
그래서 리눅스 서버에서 Log4j 디렉토리를 검색하는데, 해당 디렉토리가 아예 존재하지 않더군요
(경로에 Apache가 있어서 apache인 디렉토리 다 찾고, 거기서도 로깅에 관련 된 디렉토리 있나 봤는데도 없었습니다)
Log4j 란 소프트웨어가 아파치 관련 프로그램을 깔면 그 안에 포함 된 것이 아닌, 따로 찾아서 설치해야 하는 소프트웨어인가요?
(그 리눅스 서버에서 운영되는 솔루션은 외부업체가 다 설치한거라, 저는 관여한게 없어서 모르는 상황 ;;)
8개의 답변이 있습니다.
완전 외부에서 접근이 불가능하더라도, 내부에서 내부 측면이동 시 이용될 수 있음으로 패치해야합니다.
저도 관리하는 고객사 서버 중에 관련이 있는 서버가 있어서
금일 이거저거 자료 찾아 보느라 하루 다 보낸 듯 하네요~~~ ㅜ,.ㅜ
갑자기 무슨 일인지~~!!!
하루종일 log4j 2.x 때문에 난리네요
1.x 버전은 괜찮다고 하니 참고하시기 바랍니다
Simon.Park | 2년 이상 전
1.x 대는 정말 괜찮다고 하나요? 관련된 웹서버 중에 1.x 대가 설치되어 있는 듯 한데,
이것도 지침상으로는 업그레이드를 하라는 식으로 나와서요 ㅜㅜ
leejuck1 | 2년 이상 전
1.x 대 버전은 JNDI기능이 없어서 오히려 괜찮습니다. 그래도 버전업을 해주는게 좋긴 한데.. JDK 버전에 따라 log4j 최신버전 업데이트가 어려울 수 있으므로, 내부 영향도 분석 후에 천천히 진행하는게 낫죠
JAVA로 만들어진 OpenSource 이고 class library라면...
JAVA용 CLASSPATH 환경 변수에 지정된 경로에 있다는 의미로 보이네요.
Linux에서 echo $CLASSPATH 해서 표시되는 경로들 아래에 있는 Library file들을 하나씩 살펴 보면 될거 같고요.
Linux에서 PATH 구분자를 : (콜론) 문자로 지정하기 때문 콜론으로 구분된 경로 아래의 file들과 서버 디렉터리 아래에 있는 file들을 살펴 보면 되겠고요.
zip으로 압축된 확장자가 .zip인 file과 .jar인 file들에 대해서 압축 file을 열어서도 확인해 봐야 하겠지만...
CLASS PATH 아래의 서브디렉터리에서 log4j-core- 로 시작하고 확장자가 jar 인 압축 파일을 찾아보기만 해도 될 것 같네요.
log4j-core-*.jar file이 없다면 해당 취약점과 관련이 없다고 볼 수도 있을 것 같아 보이고요.
저도 아침에 직원에게 들었는대 내부적으로 확인중입니다.
아파치 사용해도 log4j를 사용안하거나
해당사항이 없는 구버전을 사용하는 경우도 많습니다.
전수검사하신다고 생각하시고 접근하세요.
https://effortguy.tistory.com/177
여기 사이트도 참고해보세요
https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
kisa에서 아파치 처리 방법 내용입니다
참고하세요
그리고 WAF도 있으면 업데이트 해야합니다