스위스 정부에서 깔끔하게 정리해서 포스팅한 글을 참조 하였습니다.
이미 이슈는 다뤘으니 Log4j 2.x 의 이슈 CVE-2021-44228 설명은 생략 하겠습니다.
이슈 관련 포스팅은 CVE-2021-44228 취약점 참고하세요.
- Message formatting 을 통한 lookup 동작을 위해 ${protocol:~~~} 의 패턴을 갖습니다. WAF 에 룰을 설정하여 차단합니다.
- Log4j2 의 message lookup 을 disable 합니다. (2.10 <= current < 2.15.0)
JAVA 환경변수 -Dlog4j2.formatMsgNoLookups=true 또는
시스템 환경 변수 LOG4J_FORMAT_MSG_NO_LOOKUPS=true 설정 합니다. - Log4j2 를 2.15.0 이상 으로 업그레이드 합니다.
- JNDI Lookup 을 disable 합니다. log4j-core artifact 에서 JndiLookup 클래스를 제거 하거나 Log4j2 를 2.16.0 으로 업그레이드 합니다. (Disable JNDI by default)
- Remote codebase 를 disable 합니다.
- RMI 기반 설정은 아래 설정을 false 로 합니다.
8u121 부터 false 가 default 로 변경 되었습니다.
(https://www.oracle.com/java/technologies/javase/8u121-relnotes.html)
- RMI 기반 설정은 아래 설정을 false 로 합니다.
com.sun.jndi.rmi.object.trustURLCodebase
com.sun.jndi.cosnaming.object.trustURLCodebase-
- LDAP 기반 설정은 com.sun.jndi.ldap.object.trustURLCodebase 를 false 로 셋팅 합니다.
6u211, 7u201, 8u191, and 11.0.1 이상부터 false 가 default 입니다.
- LDAP 기반 설정은 com.sun.jndi.ldap.object.trustURLCodebase 를 false 로 셋팅 합니다.
모두 안전하세요!
'개발 > JAVA' 카테고리의 다른 글
| Log4j 2.15.0 취약점 CVE-2021-45046 (1) | 2021.12.15 |
|---|---|
| CVE-2021-44228 취약점 (0) | 2021.12.12 |
| Maven Central Repository blocking http protocol (0) | 2020.01.20 |
| Spring Camp 2019 발표자료 (0) | 2019.04.29 |
