Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • 최신버전으로 업데이트가 어려운 경우 사용중인 버전확인 후 버전별 조치 적용
    • (버전확인방법)
      1. log4j가 설치된 경로의 "pompom.xmlxml"파일을 열어 "log4j"로 검색
      2. 검색결과 "사용버전(version)" 확인가능

...

  • Atlassian에서 공식 답변은 아직까지 없으나, 내장된 ElasticSearch(이하 ES)에서 log4j를 사용하므로 해당 부분 취약할 수 있음
    => ㅇ


  • 내장된 log4j 라이브러리 버전에 따라 다음과 같이 조치 필요

...

  • (조치방법) 2.10 ~ 2.14.1 (Bitbucket 6.7.1 ~ 7.17 버전 기준 내장된 ES는 log4j 2.11.1 버전 사용)
    1) 다음 경로의 jvm.options 파일 편집
      <bitbucket-data-directory>/shared/search/jvm.options

    2) 다음 환경변수 추가
       -Dlog4j2.formatMsgNoLookups=true

       ex) jvm.options


    Code Block
    titlejvm.options
    collapsetrue
    .
    .
    -Xms4g
    -Xmx4g
    
    (아래 내용 추가)
    ## Log4j vulnerability(CVE-2021-44228)
    -Dlog4j2.formatMsgNoLookups=true
    .
    .


    3) 솔루션 재기동


...


SonarSource SonarQube

취약여부

...


...


ElasticSearch 관련 참고

공식답변

...