이 문서는 CVE-2021-44228 취약점에 대한 제조사별 대처 방안을 공유하기 위해 작성되었다.
Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1]
공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고
Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2]
* 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티
제품별 다음 경로의 log4.properties 파일을 확인하여 JMS Appender 사용여부를 확인 필요
Product | Default Path |
---|---|
Jira Server & Data Center | <install-directory>/atlassian-jira/WEB-INF/classes/log4.properties |
Confluence Server & Data Center | <install-directory>/confluence/WEB-INF/classes/log4j.properties |
Bamboo Server & Data Center | <install-directory>/atlassian-bamboo/WEB-INF/classes/log4j.properties |
Fisheye / Crucible | <install-directory>/log4j.xml |
Crowd | <install-directory>/crowd-webapp/WEB-INF/classes/log4j.properties <install-directory>/crowd-openidclient-webapp/WEB-INF/classes/log4j.properties <install-directory>/crowd-openidserver-webapp/WEB-INF/classes/log4j.properties |
ex) jvm.options
. . -Xms4g -Xmx4g (아래 내용 추가) ## Log4j vulnerability(CVE-2021-44228) -Dlog4j2.formatMsgNoLookups=true . . |
다만 위 Bitbucket 처럼 Sonarqube도 Embedded된 ElasticSearch에서 log4j를 포함하므로 해당 부분 취약할 수 있음