log4j 이슈

전 세계적으로 난리였던 log4j 이슈

까먹기 전에 포스팅하고 자야지

 

log4j 소프트웨어의 원격 코드 실행(RCE) 취약점으로, 

로그 메시지에 원격의 자바 객체 주소를 포함시켜 취약한 서버에서 실행시킬 수 있어

정보 탈취, 서비스 중단 등 심각한 피해가 예상된다고 한다.

 

log4j는 기업 홈페이지 등 인터넷 서비스 운영과 관리의 목적으로 로그를 남기는 데 사용하는 프로그램이다.

홈페이지에 방문한 사람들에 대한 정보와 접근 방법이 담겨있어

해킹할 경우 컴퓨터나 서버에 대한 조작이 가능하다.

 

대응방안

1) log4j 2.16.0 이상 최신버전으로 업데이트(Jaca8 이상)

2) log4j 2.0-beta9 이상 2.15.0 이하 버전 (log4j 2.12.2 버전 제외) : JndiLookup.class 를 제거

   $zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

3) log4j 1.x 버전 : log4j 1.x에서 JMSAppender 사용 여부 확인 후 해당 기능을 중지

 

 

나는 2번으로 조치를 했지만.. (옛날버전 사이트들은 JMSAppender 기능을 사용하지 않고 있어서 딱히 조치 안취함)

결국 모든 고객사에서 최신버전 업데이트를 해달라는 요청이 들어왔다 ㅠㅠ

사정상 업데이트는 못해보고 끝났다.

업데이트는 어떻게 진행하는 거지?

 

 

Log4j JMSAppender 취약점 조치 방법 (Log4j 1.x 버전대)

log4j 1.x 버전에서 JNDI 취약점 발생 가능성이 있다. 

하지만 이 취약점은 기본적으로 비활성화 되어있기 때문에 위험도가 높지 않다.

만약, JMSAppender 클래스를 사용하고 있다면 JNDI 취약점과 동일하기 때문에 조치를 취해야 한다!!

기능 사용을 비활성화하거나 JMSAppender.class 파일을 삭제하여 영구적으로 기능을 활성화할 수 없도록 해줘야 함.

 

먼저, log4j를 찾아 JMSAppender.class를 제거해줘야 한다.

find / -name *log4j*.jar

 

log4j 파일 위치에 들어가서 명령어로 제거해주면 된다.

$zip -q -d log4j-*.jar org/apache/log4j/net/JMSAppender.class

 

JMSAppender 기능을 사용하고 있는지 없는지 확인하려면

config 파일에서 JMSAppender 설정이 있는지 봐야 한다.

 

log4j 설정은 아래 이름 패턴으로 설정파일이 생성되는데,

log4j.properties

log4j.xml

logging.properties

 

해당 파일을 찾아서 해당 파일 안에 JMSAppender 관련 내용이 있는지 확인하고 있다면 주석처리 해야 한다.

아니면 JMSAppender.class를 삭제해줘야 함

 

https://gaesae.com/126

Log4j JMSAppender 취약점 조치 방법(Log4j 1.x버전대 이슈)