Log4J 취약점

2021년 12월 10일, 많은 Java 애플리케이션에서 사용되는 보편적인 로깅 메커니즘인 Log4J에 버그가 공개되었습니다. 여기를 클릭하여 CVE-2021-44228에 대한 자세한 정보를 찾을 수 있습니다. 이는 우리의 백엔드 애플리케이션에서 문제를 어떻게 해결했는지에 대한 빠른 업데이트입니다. 이 애플리케이션들은 대부분 Java Enterprise로 구축되었습니다.

1. 우리는 Spring Boot 애플리케이션을 최신 버전의 Log4J로 업그레이드했습니다: org.apache.logging.log4j:log4j-bom:2.15.0
2. 우리는 Spring Boot 애플리케이션을 JNDI 요청을 무시하도록 구성했습니다: spring: jndi: ignore: true

1. 모든 VM은 잠재적인 정보 노출을 완화하기 위해 JVM 옵션 - Dlog4j2.formatMsgNoLookups=true로 실행됩니다.
2. 우리의 백엔드 서비스는 공개되지 않으며 방화벽/로드 밸런서 구성 뒤에서 작동합니다. 우리는 로그와 보안 시스템을 조사하여 JNDI/LDAP 요청을 확인했지만, 어떠한 것도 찾을 수 없었으므로 우리 시스템이 이러한 취약점을 스캔받지 않았을 것으로 생각됩니다.

CVE-2021-44228로 설명된 Log4J 취약점에 대한 자세한 정보는 다음 링크에서 확인할 수 있습니다:

• https://www.crowdstrike.com/blog/log4j2-vulnerability-analysis-and-mitigation-recommendations/
• https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
• https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/
• https://github.com/YfryTchsGD/Log4jAttackSurface