log4j2

마인크래프트 서버를 대상으로 대규모 악성코드 공격이 감지 되었는데, log4j2의 취약점을 이용 하였답니다.

역사상 최악의 취약점 이라고 할 만큼, 많이 사용 하는 아파치재단의 오픈소스 라이브러리인

log4j2의 취약점이기에 대대적으로 보도까지 되었네요.

이중에서 log4j2-core를 사용하는 어플리케이션에서 취약점 공격이 가능 하다고 하며,

log4j2-core v2.15.0 으로 긴급 패치가 되었다고 합니다.


log4j2를 사용하는 모든 서버는 log4j2를 2.15.0 으로 업데이트를 하길 권하는데, 

서버 개발자 분들은 아시겠지만, 디펜던시 수정 하기가 쉽지 않은 일입니다.

그리고 문제되는 버전은 2.0 >= Apache log4j <= 2.14.1 입니다.

즉, 1.x 버전대는 해당 되지 않습니다.


일단 이 글에서는, spring boot의 기본 logging을 사용 한다면 이 걱정을 안해도 된다는 것을 알려 드립니다.

spring.io 블로그의 포스팅에 의하면, 

Spring Boot 사용자는 기본 로깅 시스템을 Log4J2로 전환한 경우에만 이 취약점의 영향을 받습니다. 
spring-boot-starter-logging에 포함된 log4j-to-slf4j 및 log4j-api jar는 자체적으로 악용될 수 없습니다. 
log4j-core를 사용하고 로그 메시지에 사용자 입력을 포함하는 응용 프로그램만 취약합니다.


곧 출시될 v2.5.8 및 v2.6.2 릴리스(2021년 12월 23일 예정)는 Log4J v2.15.0을 선택하지만 이것은 심각한 취약점이므로 종속성 관리를 무시하고 Log4J2 종속성을 더 빨리 업그레이드하는 것이 좋습니다.

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

 

Log4J2 Vulnerability and Spring Boot

<p>As you may have seen in the news, a new zero-day exploit has been reported against the popular Log4J2 library which can allow an attacker to remotely execute code. The vulnerability has been reported with <a href="https://nvd.nist.gov/vuln/detail/CVE-20

spring.io

 

한마디로, 기본 spring boot의 loggging 모듈은 문제되는 log4j-core를 사용 하지 않기 때문에 걱정 하지 않아도 된다는 이야기 이죠.

하지만 기본 logging을 빼버리고  log4j2를 직접 사용하도록 수정 한 경우, 보안 이슈가 발생 된다고 합니다.

2.0-beta9~2.10.0 버전의 경우 JndLookup 클래스를 경로에서 제거

( zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)해야 하며,

2.10~2.14.1 버전의 경우 log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS=true 로 설정 합니다.

java -Dlog4j2.formatMsgNoLookups=true -jar myapp.jar
LOG4J_FORMAT_MSG_NO_LOOKUPS=true java -jar myapp.jar

 

오래된 맥북님이 복수가 차서 활동을 제대로 못하시기에.. 

벼르고 벼르다가 병원에 보내 진단을 받아보았습니다.

svc.ubase.co.kr/webView/?pageName=13

 

Apple 공인 서비스 센터 UBASE

Apple 공인 서비스 센터 UBASE

svc.ubase.co.kr

예약 없이 갔더니... 한참을 기다렸었네요.

가실 분들은 꼭 예약 하시길...

노트북 진단 하시더니, 배터리 맛이 갔네요 교체 해야 합니다. 라고 말씀 해주십니다.

그리고는 데이터가 다 날라갈 수 있다고 하시면서, 백업 하셨냐고 물으십니다.

배터리 교체하는데 데이터가 왜 날라가죠? 물었습니다.

배터리 교체하고 초기화 하면서 날라갈 수 있다고 하십니다.

아무튼 백업 하시라고... 하셔서... 접수증을 새로 끊고 기다리면서 또 백업을 했습니다.

무료 wifi가 되어서 일단 클라우드로 열심히 자료 옮김... (겁나 느림.. ㅠ)

배터리 교체 하는데 3~5일 걸릴 수 있다고 하길래 맡기고 집에 왔습니다.

제가, 혹시 업그레이드도 같이 할 수 있겠습니까? 했더니.. 살때 부품 말고는 교체 안된다고 하시더군요. (쳇)

아무튼... 그리고 하루 뒤에 수리 끝났다고.. 부품이 빨리 왔다네용

수리 내역은 키보드, 터치패드, 바디 전체가 통으로 교체 되었답니다. (뭥미?)

이게 일체형 부품 이라네요.. ㄷㄷ...

상판, 바닥 뚜껑 빼고 바디가 새 알루미늄으로 변경 (뭔가 괜히 기분 좋음?!)

어 그리고, 초기화 안되었습니다. ㅎㅎ 

물어보니.. 배터리 교체 후 혹시 시스템 오류 나면 그때 리셋 한다고... (당연한거 아닌가?!)

뭐 사람 앞일은 아무도 모르는 거니... 백업은 항상 옳지요.

가격은 공임비 포함 288,000원 나왔습니다.

보증 기간은 90일 이래요.

새 맥북을 사고 싶었는데.... 또 애껴 써야겠습니다....

최근 저 사양 미니노트북에서 고사양 게임을 플레이 할 수 있다는 뉴스를 보았다.

내용인 즉슨, 클라우드 컴퓨팅 기술과 동영상 스트리밍 기술을 이용해 브라우져를 통한 스트리밍 게임 서비스 이다.

오랜만에 보는 참신한 아이디어 인듯 하다. 물론.. 이전부터 있었는데 이제 알았는 것일 수도 있겠지만.. ( 정보 수집 능력이 딸리는 관계로.. )

현재 OnLive, Gaikai, AMD + OTOY 세 곳이 주목 받고 있다.

AMD의 OTOY는 옴니아에서 크라이슬러를 플레이 하는 동영상이 공개 됬다.

구글에서 이야기 한 것처럼 앞으로는 브라우져를 통해 모든것을 할 수 있을 것이라는 말이 실로 실감나는 순간 이라 생각 한다.

클라우드 컴퓨팅 서비스를 지금 까지는 간접적으로 밖에 느낄 수 밖에 없었지만.. 앞으로는 직접적으로 서비스를 받아 볼 수 있을 듯 하다.

실용 단계 까지는 2년여 더 걸린다고 하니.. 앞으로 있어 보면 알듯..

임베디드 소프트웨어의 새로운 시장으로 충분히 매력적이지 않나 생각 한다.

좀더 저 분야에 관심을 가져 보도록 해야 겠다.

Gaikai 기사 : http://www.zdnet.co.kr/ArticleView.asp?artice_id=20090703112600

+ Recent posts