2021년 12월 10일, 많은 Java 애플리케이션에서 사용되는 보편적인 로깅 메커니즘인 Log4J에 버그가 공개되었습니다. 여기를 클릭하여 CVE-2021-44228에 대한 자세한 정보를 찾을 수 있습니다. 이는 우리의 백엔드 애플리케이션에서 문제를 어떻게 해결했는지에 대한 빠른 업데이트입니다. 이 애플리케이션들은 대부분 Java Enterprise로 구축되었습니다.
- 우리는 Spring Boot 애플리케이션을 최신 버전의 Log4J로 업그레이드했습니다: org.apache.logging.log4j:log4j-bom:2.15.0
- 우리는 Spring Boot 애플리케이션을 JNDI 요청을 무시하도록 구성했습니다: spring: jndi: ignore: true
- 모든 VM은 잠재적인 정보 노출을 완화하기 위해 JVM 옵션 - Dlog4j2.formatMsgNoLookups=true로 실행됩니다.
- 우리의 백엔드 서비스는 공개되지 않으며 방화벽/로드 밸런서 구성 뒤에서 작동합니다. 우리는 로그와 보안 시스템을 조사하여 JNDI/LDAP 요청을 확인했지만, 어떠한 것도 찾을 수 없었으므로 우리 시스템이 이러한 취약점을 스캔받지 않았을 것으로 생각됩니다.
CVE-2021-44228로 설명된 Log4J 취약점에 대한 자세한 정보는 다음 링크에서 확인할 수 있습니다:
- https://www.crowdstrike.com/blog/log4j2-vulnerability-analysis-and-mitigation-recommendations/
- https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
- https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/
- https://github.com/YfryTchsGD/Log4jAttackSurface
.avif){kind=spacer}
.avif)
.avif)
%2520(1).avif)
첫 14일은 무료
기본 지원도 무료 제공
