추가 업데이트 2(CVE-2021-44832)
Apache Log4j 2에서 발생하는 원격코드 실행 취약점 (CVE-2021-44832) 발견되었습니다.
2.17.1 버전으로 업데이트해야 합니다. 아래의 링크를 확인해주세요.
추가 업데이트 1(CVE-2021-45105)
Logj4 2.16.0 버전에서 JNDI Lookup pattern 취약점이 발견되었습니다.
2.17.0 버전으로 업데이트해야 합니다. 아래의 링크를 확인해주세요.
https://veneas.tistory.com/entry/Spring-Boot-스프링-부트-Log4J2-취약점-조치-CVE-2021-45105
0. 조치 환경
- Spring Boot 2.5.6 (Gradle Project)
- JDK 11(Java 11)
- IntelliJ
1. 취약점 내용
- CVE-2021-45046
- Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)을 해결하기 위한 조치로 2.15.0 버전이 불완전한 것으로 나타남
- 관련 내용 링크는 아래에 있습니다.
- NVD - CVE-2021-45046 (nist.gov)
2. 조치 방안
- 취약점(CVE-2021-44228)을 해결하기 위한 조치로 업데이트 된 2.15 버전이 불완전 한 것으로 나타나서 2.16 버전으로 업데이트해야 합니다.
3. Log4j2 버전 업데이트(2.16)
build.gradle 파일에 다음과 같이 log4j2 2.16과 관련 의존성을 추가해 줍니다.
dependencies {
implementation group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.16.0'
implementation group: 'org.apache.logging.log4j', name: 'log4j-core', version: '2.16.0'
implementation group: 'org.apache.logging.log4j', name: 'log4j-jul', version: '2.16.0'
implementation group: 'org.apache.logging.log4j', name: 'log4j-slf4j-impl', version: '2.16.0'
implementation group: 'org.slf4j', name: 'slf4j-api', version: '1.7.32'
implementation group: 'org.slf4j', name: 'jul-to-slf4j', version: '1.7.32'
}
4. 확인
- IntelliJ에서 gradle의존성을 확인해보면 log4j2의 버전이 2.15.0로 변경된 것을 알 수 있습니다.
'Backend > Spring' 카테고리의 다른 글
[Spring Boot] 스프링 부트 Log4J2 취약점 조치 (CVE-2021-45105) (0) | 2021.12.18 |
---|---|
[Spring Boot] 스프링 부트 Logback 취약점 조치 (CVE-2021-42550) (0) | 2021.12.18 |
[Spring Boot] 스프링 부트 Log4J2 취약점 조치 (Log4J2 버전 업데이트) (3) | 2021.12.13 |
[Spring Boot] Filter 를 이용하여 Request Body 핸들링 (HttpServletRequestWrapper) (0) | 2021.12.09 |
[Spring Boot] REST API 예외처리(Response Json) (0) | 2021.12.01 |