Log4j JMSAppender 취약점 조치 방법(Log4j 1.x버전대 이슈)

Log4j 2버전대 JNDI 취약점 이슈 관련 게시글을 찾고자 하시는 분들은 여기로 가세요.

 

안녕하세요.

Log4j 1버전대에서 현재 추가로 JNDI 취약점 발생 가능성이 발견되었습니다.

이 취약점은 기본적으로 비활성화 되어있기 때문에 위험도가 높은 편에 속하는건 아니지만

JMSAppender 클래스를 이용하는 개발자들은 위험도가 Log4j2 JNDI 취약점과 동일하다고 보시면됩니다.

 

현재로써 나온 해결책은 기능 사용하고 있다면 비활성화하거나 JMSAppender.class 파일을 삭제하여 영구적으로 기능을 활성화할 수 없도록 만들어야합니다.

 

Log4j 1버전대는 현재 패치가 중단된지 오래되어서 더 이상 사용하실 수 없기 때문에 사실상 기능 개선을 통한 조치는 어렵습니다.

만약 JMSAppender 쓰고 계신다면 사실상 소스코드를 Log4j 2버전대에 맞춰 재개발하시는 수밖에 없는 상황이죠.

 

리눅스 서버 내에서 log4j 파일 위치 찾는 방법

find / -name *log4j*.jar

리눅스 서버에서 명령어를 통해 직접 제거도 가능합니다.

zip -q -d log4j-*.jar org/apache/log4j/net/JMSAppender.class

 

 

JMSAppender 기능을 사용하고 있는지 없는지 확인하려면

config 파일에서 JMSAppender 설정이 있는지 확인을 해야합니다.

 

보편적으로 log4j 설정은 아래 이름 패턴으로 설정파일이 생성되는데요

log4j.properties

logger.xml

logging.properties

 

해당 파일을 찾아서 해당 파일 안에 JMSAppender 관련 내용이 있는지 확인하고

있다고하면 해당 내용을 모두 주석처리해야합니다.

아니면 JMSAppender.class 파일을 삭제하시는 방법이 현재로썬 방법입니다.

 

리눅스 서버에서 아래 명령어를 입력하시면 해당 파일들의 위치를 찾을 수 있습니다.

find / -name log4j.properties

find / -name logger.xml

find / -name logging.properties