2021 12 12

2021-12-12

log4j2 취약점

• 참고 1: https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
• 참고 2: https://snowdeer.github.io/android/2019/08/11/custom-variable-of-gradle/
• 개요 - Log4j2 라이브러리가 해커가 Remotely Execute Code에 대한 취약점이 발견됨 - Log4j v2.15.0에서 패치 - 로깅 시스템을 Log4j2로 사용했다면, Spring Boot 유저는 이거에 취약해짐 - Spring v2.5.8이랑 v.2.6.2 출시되면 log4j v2.15.0 낄 것

• Gradle 해결 방법 - Gradle에 다음과 같이 버전을 명시해주자

  ext['log4j2.version'] = '2.15.0'
  

  - ext: 특정 라이브러리의 버전을 변수로 지정하는 방식

• 만약 업그레이드 못하면... - JVM 옵션에 -Dlog4j2.formatMsgNoLookups=true 를 설정해주자!