728x90 반응형 기타4 Apache logback 취약점 발견 CVE-2021-42550 이번주는 취약점 보고의 주인거 같습니다. 발표된 취약점만 벌써 6개나 됩니다. log4j 관련 5개 logback 관련 1개로 원격코드 실행에 관련된 보고 입니다. 아 12/18일에 발표된 log4j2는 서비스 관련 취약점입니다. 이번엔 logback에 취약점에 대해 적으려 합니다. logback 이란 먼저 log4j 와 logback은 다른 로깅 라이브러리입니다. log4j의 후속 제품으로 log4j 1.x 에서 성능 향상 된 logback을 많이 사용하며, logback-core, logback-classic, logback-access로 세가지 모듈로 나뉜다고 한다. Spring boot 에서는 logback-core 와 logback-classic을 기본으로 탑제를 시킨다. 그냥 Spring Bo.. 2021. 12. 20. Apache log4j 취약점 Spring boot 패치 방법 gradle Sping Boot 에 apache log4j 적용 STS 에 프로젝트에 log4j 가 등록되어 있는지 확인 하자. Project and External Dependencies 를 활성화하여 log4j 라이브러리를 확인한다. log4j-core-2.14.1.jar 파일이 확인 된다. 2.14 면 취약점이 발견 된 버전이다. Gradle인 경우 dependencies 에 등록 된 항목을 확인한다. 안정된 버전을 dependencies 아래에 추가하여 변경해 보자. ext['log4j2.version'] = '2.15.0' 변경 후 Refresh Gradle Project 를 실행하여 반영해 보자. 반영 후 변경된 log4j를 확인 한다. 위 적용 방식 말고 실행 할 때 옵션을 주어 사용하는 방법도 있다. .. 2021. 12. 14. Apache Log4j 2 긴급 업데이트 패치 2021-12-06 에 Log4j 취약점 발견으로 인한 업데이트 패치하라는 공문이 아파치 페이지에 올라왔습니다. 영향 받는 버전 Log4j 2.0-beta9 이상 2.14.1 이하 Log4j 2 취약점 Apache Log4j2 2.14.1 이전 버전 경우, 로그 메시지 및 매개변수에 사용되는 JNDI 기능은 LDAP 및 기타 JNDI 관련 엔드포인트로 안전하지 않고, 로그 메시지 또는 로그 메시지 매개변수를 제어할 수 있는 공격자는 메시지 조회 대체가 활성화된 경우 LDAP 서버에서 로드된 임의의 코드를 실행할 수 있습니다. 안전한 버전 log4j 2.15.0부터 이 동작은 기본적으로 비활성화 되어 있습니다. Log4j 2 완하 방법 2.0-beta9 ~ 2.10.0 JndiLookup 클래스를 경로에서.. 2021. 12. 13. [VPN] SoftEther VPN 서버 구축하기 (feat 재택근무) SoftEther VPN 이라는 오픈 소스 프로그램을 소개합니다. https://www.softether.org/ SoftEther VPN Project - SoftEther VPN Project SoftEther VPN Project develops and distributes SoftEther VPN, An Open-Source Free Cross-platform Multi-protocol VPN Program, as an academic project from University of Tsukuba, under the Apache License 2.0. Click here for software update history and t www.softether.org VPN 이란? Virtual Pr.. 2021. 12. 9. 이전 1 다음 728x90 반응형
