일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- edwith
- 웹개발
- MySQL
- CSS
- 쿠키런킹덤공략
- oracle
- 크리스마스
- 자바
- 티스토리챌린지
- dart
- 개발자
- SQL
- 오블완
- 프로그래밍
- 쿠키런킹덤크리스마스
- 홀리데이익스프레스
- programmers
- 프로그래머스
- GIT
- 스프링
- 쿠키런킹덤
- 쿠킹덤공략
- HTML
- 이클립스
- Eclipse
- Java
- 스프링퀵스타트
- 쿠킹덤
- 딥러닝
- Spring
- Today
- Total
Dev study and notes
[log4j] log4j 취약점 해결 초간단 본문
+추가수정 2.15 버전도 취약하다고하니 2.16 버전을 사용하기 바란다
2.16 버전으로 바꾸기!
출처: https://openlunch.tistory.com/115 [LIKE A D!AMOND]
log4j 취약점 관련 간단히 해결을 해보자..
해결법 보려면 스크롤 아래로 내려서 순서확인한다~
- 안내
일단 문제 되는 버전 log4j 2.0.0 ~ 2.14.1 버전.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
- 내 프로젝트의 문제점
나의경우 문제는 디펜던시에서 직접 명시하지 않았는데
log4j가 호출이 된다.
이렇다는것은 타 라이브러리 또는 디펜던시에서 log4j를 호출한다는것 ,, 과거버전으로..
이를 해결하기엔 간단하게 해당 라이브러리/디펜던시의 버전을 명시해 주면 된다.
- 해결법
다시 정리하면 기존 pom.xml에서 log4j 는 직접적으로 maven을 통해 가져오지 않고 dependency 내 <groupId>org.springframework.boot</groupId> 를 갖는 부분에서 log4j 취약버전을 가져오는 것으로 예상.
3. pom.xml 에서 log 관련 버전 설정
- dependency - org.springframework.boot
- dependency - sl4j
에서 log4j 2.11.2 버전을 가져오는 것으로 예상되어 해당 버전을 현재 문제 없는 버전으로 변경하고자 함.
pom.xml 에 버전 명시 추가
<properties>
<log4j2.version>2.15.0</log4j2.version>
<slf4j.version>1.7.30</slf4j.version>
</properties>
pom.xml 저장후 maven project update 또는 re build.
위처럼 하면 버전 업데이트가 된다!
두둥!
*참조 사이트 :
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
CVE - CVE-2021-44228 (mitre.org)
'studyLog' 카테고리의 다른 글
[java][eclipse] 이클립스 STS 스프링 텔넷 TELNET 접속 오류 접속 불가 해결 (0) | 2022.02.15 |
---|---|
[스프링 퀵스타트] DAY 01 CLASS02 프레임워크 개요 POJO 요약 (0) | 2022.01.11 |
[스프링 퀵스타트] DAY 01 CLASS 1.2b 실습 프로젝트 생성 그리고 오류 해결... (0) | 2021.12.10 |
[스프링 퀵스타트] DAY 01 CLASS 1.2 실습 프로젝트 생성 중 오류 해결 (0) | 2021.11.29 |
[스프링퀵스타트] DAY 01 CLASS 1.1 개발 환경 구축 (0) | 2021.11.19 |