...
- Atlassian에서 공식 답변은 아직까지 없으나, 내장된 ElasticSearch(이하 ES)에서 log4j를 사용하므로 해당 부분 취약할 수 있음
=> ㅇJDK8 또는 그 이하 버전에서 사용하는 ES의 경우 취약함(아래 ElasticSearch 공식답변 링크에서 자세한 내용 확인 가능)
- Bitbucket 솔루션을 JDK8 또는 이하 버전으로 사용할 경우 아래 JVM 옵션 적용 필요
- 아래 옵션이 적용되는 ES 버전 : 5.5+, 6.5+, and 7+
- 내장된 log4j 라이브러리 버전에 따라 다음과 같이 조치 필요
...
다만 위 Bitbucket 처럼 Sonarqube도 Embedded된 ElasticSearch에서 log4j를 포함하므로 해당 부분 취약할 수 있음
=> JDK8 또는 그 이하 버전에서 사용하는 ES의 경우 취약함(아래 ElasticSearch 공식답변 링크에서 자세한 내용 확인 가능)
- SonarQube 솔루션을 JDK8 또는 이하 버전으로 사용할 경우 아래 JVM 옵션 적용 필요
- 아래 옵션이 적용되는 ES 버전 : 5.5+, 6.5+, and 7+
조치방안
- Embedded된 ElasticSearch에서 log4j를 포함하므로 다음과 같이 조치 필요
...
...
ElasticSearch 관련 참고
취약여부
- ElasticSearch 6 및 7 버전은 Java Security Manager를 사용하기 때문에 위 보안 이슈의 원격 코드 실행에 취약하지 않음(ElasticSearch 5버전은 현재 조사중)
- 다만 JDK8 이하 버전으로 실행할 경우 DNS를 통한 정보 누출에 취약하여 아래와 같은 JVM 옵션 설정이 필요
조치방안
- JVM옵션에 다음 변수 추가
-Dlog4j2.formatMsgNoLookups=true
공식답변
...