이 문서는 Apache Log4j 2에서 발생하는 취약점에 대한 제조사별 대처 방안을 공유하기 위해 작성되었다.



Apache Log4j 2 보안 업데이트 권고



보안 취약 코드


주요 내용 및 영향 받는 버전, 공통적인 대응방안 

 KISA 보안공지 - 'Apache Log4j 보안 업데이트 권고' 항목 참고


추가 참고 URL



제품 별 대처 방안


Atlassian Server & Data Center 제품군

취약여부



조치방안



공식답변



Bitbucket Server & Data Center 사용 ElasticSearch

취약여부



조치방안

 ※ Bitbucket Server 기준, 번들로 포함되는 ElasticSearch에 대한 조치 가이드로, DataCenter의 경우 번들이 아닌 독립적인 ElasticSearch 솔루션을 사용하므로, 아래 ElasticSearch 항목을 참고하여 조치


1) Bitbucket 버전을 다음 버전으로 업그레이드


2)  Bitbucket 버전 업그레이드가 불가능할 경우

  1. 다음 경로의 jvm.options(번들 ElasticSearch JVM 설정) 파일 편집
    Bitbucket Server 기준: <bitbucket-data-directory>/shared/search/jvm.options

  2. 다음 환경변수 추가 후 저장
    -Dlog4j2.formatMsgNoLookups=true

    .
    .
    -Xms4g
    -Xmx4g
    
    (아래 내용 추가)
    ## Log4j vulnerability(CVE-2021-44228)
    -Dlog4j2.formatMsgNoLookups=true
    .
    .


  3. 솔루션 재기동


  ※ CVE-2021-45046 보안 이슈 대비  JndiLookup.class 삭제


  1. Log4J 라이브러리 위치로 이동
    Bitbucket Server 기준: <bitbucket-install-directory>/elasticsearch/lib/log4j-core-버전.jar

  2.  다음 명령어 수행하여  JndiLookup 클래스 제거 (명령어 수행전 jar파일 백업 필수!)
    $ zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

  3. 솔루션 재기동



공식답변




SonarSource SonarQube

취약여부



조치방안

1) SonarQube 버전을 다음 버전으로 업그레이드

 ※ LTE 버전만 해당


2) 버전 업그레이드가 불가능할 경우

  1. 다음 경로의 sonar.properties(SonarQube 설정) 파일 편집
    <sonarqube-install-directory>/conf/sonar.properties

  2. sonar.search.javaAdditionalOpts 항목 주석 해제 후 다음  환경변수 추가
    sonar.search.javaAdditionalOpts=-Dlog4j2.formatMsgNoLookups=true

    .
    .
    (주석 해제 후 환경변수 추가)
    ## Log4j vulnerability(CVE-2021-44228)
    sonar.search.javaAdditionalOpts=-Dlog4j2.formatMsgNoLookups=true
    .
    .


  3. 솔루션 재기동


  ※ CVE-2021-45046 보안 이슈 대비  JndiLookup.class 삭제


  1. Log4J 라이브러리 위치로 이동
    <sonarqube-install-directory>/elasticsearch/lib/log4j-core-버전.jar

  2.  다음 명령어 수행하여  JndiLookup 클래스 제거 (명령어 수행전 jar파일 백업 필수!)
    $ zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

  3. 솔루션 재기동



공식답변




Jfrog Artifactory

취약여부



조치방안



공식답변




Sonatype Nexus

취약여부



조치방안



공식답변




Elastic ElasticSearch

※ Bitbucket DataCetner 사용시 번들이 아닌 독립적으로 설치하여 사용하기 때문에 해당 항목 기재함


취약여부


 ※ Elasticsearch mitigation summary Matrix

 출저: Elastic 공식답변 URL


조치방안

1) ElasticSearch 버전을 다음 버전으로 업그레이드



2) 버전 업그레이드가 불가능할 경우

  1. 다음 경로의 jvm.options(ElasticSearch JVM 설정) 파일 편집
    tar 또는 zip 배포판: <elasticsearch-directory>/config/jvm.options
    RPM 패키지 설치시: /etc/elasticsearch/jvm.options

  2. 다음 환경변수 추가 후 저장
    -Dlog4j2.formatMsgNoLookups=true

    .
    .
    (아래 내용 추가)
    ## Log4j vulnerability(CVE-2021-44228)
    -Dlog4j2.formatMsgNoLookups=true
    .
    .


  3. 솔루션 재기동


  ※ CVE-2021-45046 보안 이슈 대비 JndiLookup.class 삭제


  1. Log4J 라이브러리 위치로 이동
    tar 또는 zip 배포판: <elasticsearch-directory>/lib/log4j-core-버전.jar
    RPM 패키지 설치시: /etc/elasticsearch/lib/log4j-core-버전.jar

  2.  다음 명령어 수행하여  JndiLookup 클래스 제거 (명령어 수행전 jar파일 백업 필수!)
    $ zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

  3. 솔루션 재기동



공식답변