Log4j 취약점 (CVE-2021-44228) 을 막는 5가지 방법

출처 : https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/

스위스 정부에서 깔끔하게 정리해서 포스팅한 글을 참조 하였습니다.

거두절미 하고 Log4j 2.x 의 이슈 CVE-2021-44228 설명은 생략 하겠습니다.

  1. Message formatting 을 통한 lookup 동작을 위해 ${protocol:~~~} 의 패턴을 갖습니다. WAF 에 룰을 설정하여 차단합니다.
  2. Log4j2 의 message lookup 을 disable 합니다. (2.10 <= current < 2.15.0)
    JAVA 환경변수 -Dlog4j2.formatMsgNoLookups=true 또는
    시스템 환경 변수 LOG4J_FORMAT_MSG_NO_LOOKUPS=true 설정 합니다.
  3. Log4j2 를 2.15.0 이상 으로 업그레이드 합니다.
  4. JNDI Lookup 을 disable 합니다. log4j-core artifact 에서 JndiLookup 클래스를 제거 하거나 Log4j2 를 2.16.0 으로 업그레이드 합니다. (Disable JNDI by default)
  5. Remote codebase 를 disable 합니다.
    1. RMI 기반 설정은 com.sun.jndi.rmi.object.trustURLCodebasecom.sun.jndi.cosnaming.object.trustURLCodebase 를 false 로 셋팅 합니다.
      8u121 부터 false 가 default 로 변경 되었습니다.
    2. LDAP 기반 설정은 com.sun.jndi.ldap.object.trustURLCodebase 를 false 로 셋팅 합니다.
      6u211, 7u201, 8u191, and 11.0.1 이상부터 false 가 default 입니다.


모두 안전하게 조치하여 보안 가득한 인프라 라이프가 되었으면 합니다.

5 2 votes
Article Rating
Notify of

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Newest Most Voted
Inline Feedbacks
View all comments
Scroll to top
Would love your thoughts, please comment.x