Log4j 이슈 Log4Shell 패치된 Core 파일, JNDILookup.class 파일 삭제
안녕하세요.
현재 주말간 전세계적인 이슈로 Log4j JNDI 취약점이 발생하였습니다.
많은 개발자들이 Log4j를 사용하고 있기 때문에 더욱 큰 문제로 퍼져나가고있는데요.
Log4j를 쓰긴하지만 JNDI 기능은 안 쓰는 개발자들이 더 많아 조치가 어려운 편은 아닌게 다행이라고 생각되네요.
리눅스 서버 내에서 log4j 파일 위치 찾는 방법
find / -name *log4j*.jar
여기에 업로드해드리는 파일은 Core 파일 내에서 JNDILookup.class를 삭제하여 JNDI 기능을 비활성화한 파일입니다.
2.15.0버전은 JNDI 기능을 비활성화한건 아니고 아파치 재단에서 이미 관련 이슈를 수정한 파일이므로 원본 상태로 올려드립니다.
추가로 리눅스 서버에서 명령어를 통해 직접 제거도 가능합니다.
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
위 명령어로 파일 삭제가 정상적으로 되었는지는 명령어를 한 번 더 치시면
파일이 없어서 에러가 뜹니다.
Log4j 팀에서 JAVA7버전용 Log4j 를 업데이트했습니다. 2.12.1 버전 사용자들은 2.12.2버전으로 업데이트하시기 바랍니다.
공식적으로 JAVA7은 더 이상 지원 안하기로 했으나 너무 크리티컬한 이슈와 JAVA7 사용자들이 많아 업데이트를 진행한것으로 보입니다.
기왕이면 JAVA6도 해주면 좋겠네요.
파일 버전 교체 시 pom.xml 에서 내용 수정 하셔야합니다.
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.16.0</version>
</dependency>
다음에서 파일들 이름을 tfile.jar로 변경시켜놨네요.
다운로드 받으시고 원래 이름으로 수정하시기 바랍니다.
(JAVA 8)
log4j-core-2.16.0.jar (Log4j 팀 공식 패치 버전)
log4j-core-2.15.0.jar (Log4j 팀 공식 패치 버전)
(JAVA 7)
log4j-core-2.12.2.jar (Log4j 팀 공식 패치 버전)
log4j-core-2.12.1.jar (JndiLookup.class 삭제 버전)
(JAVA 6)
log4j-core-2.3.jar
log4j-core-2.0.jar
log4j-core-2.1.jar
log4j-core-2.5.jar
log4j-core-2.8.2.jar
log4j-core-2.10.0.jar
log4j-core-2.11.2.jar
log4j-core-2.12.1.jar
JAVA 8 (JDK 1.8) 용
JAVA 7 (JDK 1.7) 용
아래 파일은 Log4j 팀 공식 패치 버전 2.12.3 입니다.
아래 파일은 JndiLookup.class 삭제 버전 입니다. (해당 파일 수정자 김루노)
JAVA 6 (JDK 1.6) 용
아래 파일은 Log4j 팀 공식 패치 버전 2.3.1 입니다.
아래 파일은 JndiLookup.class 삭제 버전 입니다. (해당 파일 수정자 김루노)
JAVA 7과 JAVA 6은 이미 단종되어 더 이상 패치가 나오지 않습니다.
Log4j 2.13버전 부터는 JAVA 8 이상만 지원합니다.
전자정부 프레임워크에서 사용하는 JAR 파일입니다.
전자정부 프레임워크 3.1
전자정부 프레임워크 3.5
전자정부 프레임워크 3.6
전자정부 프레임워크 3.7
전자정부 프레임워크 3.8
전자정부 프레임워크 3.9
전자정부 프레임워크 3.10
'보안' 카테고리의 다른 글
| Log4j JMSAppender 취약점 조치 방법(Log4j 1.x버전대 이슈) (0) | 2021.12.17 |
|---|
비밀댓글입니다
비밀댓글입니다
아마 북미 시간 기준일거 같아서 어제 인거 같은데...
jdk 1.7 대응으로 마지막 log4j2 2.12.1에 추가로 버전이 올라서 2.12.2가 올라왔습니다.
그래서 jdk1.7버전이라면 2.12.2로 적용하면 해결될거 같습니다.
비밀댓글입니다