...
- 최신버전으로 업데이트가 어려운 경우 사용중인 버전확인 후 버전별 조치 적용
- (버전확인방법)
1. log4j가 설치된 경로의 "pompom.xmlxml"파일을 열어 "log4j"로 검색
2. 검색결과 "사용버전(version)" 확인가능
- (버전확인방법)
...
- Atlassian에서 공식 답변은 아직까지 없으나, 내장된 ElasticSearch(이하 ES)에서 log4j를 사용하므로 해당 부분 취약할 수 있음
=> ㅇ
- 내장된 log4j 라이브러리 버전에 따라 다음과 같이 조치 필요
...
- (조치방법) 2.10 ~ 2.14.1 (Bitbucket 6.7.1 ~ 7.17 버전 기준 내장된 ES는 log4j 2.11.1 버전 사용)
1) 다음 경로의 jvm.options 파일 편집
<bitbucket-data-directory>/shared/search/jvm.options
2) 다음 환경변수 추가
-Dlog4j2.formatMsgNoLookups=trueex) jvm.options
코드 블럭 title jvm.options collapse true . . -Xms4g -Xmx4g (아래 내용 추가) ## Log4j vulnerability(CVE-2021-44228) -Dlog4j2.formatMsgNoLookups=true . .
3) 솔루션 재기동
...
SonarSource SonarQube
취약여부
...
...
ElasticSearch 관련 참고
공식답변
...