스위스 정부에서 깔끔하게 정리해서 포스팅한 글을 참조 하였습니다. 거두절미 하고 Log4j 2.x 의 이슈 CVE-2021-44228 설명은 생략 하겠습니다. Message formatting 을 통한 lookup 동작을 위해 ${protocol:~~~} 의 패턴을 갖습니다. WAF 에 룰을 설정하여 차단합니다. Log4j2 의 message lookup 을 disable 합니다. (2.10 <= current < 2.15.0) JAVA 환경변수 -Dlog4j2.formatMsgNoLookups=true 또는 시스템 환경 변수 LOG4J_FORMAT_MSG_NO_LOOKUPS=true 설정...
