이 문서는 Apache Log4j 2에서 발생하는 취약점에 대한 제조사별 대처 방안을 공유하기 위해 작성되었다.
자세한 내용은 KISA 보안공지 - 'Apache Log4j 보안 업데이트 권고' 항목 참고
제품별 다음 경로의 log4.properties(또는 log4j.xml) 파일을 확인하여 JMSAppender 사용여부 확인 필요
Product | Default Path |
---|---|
Jira Server & Data Center | <install-directory>/atlassian-jira/WEB-INF/classes/log4.properties |
Confluence Server & Data Center | <install-directory>/confluence/WEB-INF/classes/log4j.properties |
Bitbucket Server & Data Center | Logback 사용하여 영향 없음 |
Bamboo Server & Data Center | <install-directory>/atlassian-bamboo/WEB-INF/classes/log4j.properties |
Fisheye / Crucible | <install-directory>/log4j.xml |
Crowd | <install-directory>/crowd-webapp/WEB-INF/classes/log4j.properties <install-directory>/crowd-openidclient-webapp/WEB-INF/classes/log4j.properties <install-directory>/crowd-openidserver-webapp/WEB-INF/classes/log4j.properties |
※ Bitbucket Server 기준, 번들로 포함되는 ElasticSearch에 대한 조치 가이드로, DataCenter의 경우 번들이 아닌 독립적인 ElasticSearch 솔루션을 사용하므로, 아래 ElasticSearch 항목을 참고하여 조치
1) Bitbucket 버전을 다음 버전으로 업그레이드
All versions < 6.10.16
7.x < 7.6.12
Versions >= 7.7.0 and < 7.14.2
7.15.x < 7.15.3
7.16.x < 7.16.3
7.17.x < 7.17.4
7.18.x < 7.18.3
7.19
2) Bitbucket 버전 업그레이드가 불가능할 경우
다음 환경변수 추가 후 저장
-Dlog4j2.formatMsgNoLookups=true
. . -Xms4g -Xmx4g (아래 내용 추가) ## Log4j vulnerability(CVE-2021-44228) -Dlog4j2.formatMsgNoLookups=true . . |
※ CVE-2021-45046 보안 이슈 대비 JndiLookup.class 삭제
1) SonarQube 버전을 다음 버전으로 업그레이드
8.9.x < 8.9.5
9.2.x < 9.2.3
※ LTE 버전만 해당
2) 버전 업그레이드가 불가능할 경우
sonar.search.javaAdditionalOpts 항목 주석 해제 후 다음 환경변수 추가
sonar.search.javaAdditionalOpts=-Dlog4j2.formatMsgNoLookups=true
. . (주석 해제 후 환경변수 추가) ## Log4j vulnerability(CVE-2021-44228) sonar.search.javaAdditionalOpts=-Dlog4j2.formatMsgNoLookups=true . . |
※ CVE-2021-45046 보안 이슈 대비 JndiLookup.class 삭제
※ Bitbucket DataCetner 사용시 번들이 아닌 독립적으로 설치하여 사용하기 때문에 해당 항목 기재함
1) ElasticSearch 버전을 다음 버전으로 업그레이드
6.8.12 or 7.16.1
2) 버전 업그레이드가 불가능할 경우
다음 환경변수 추가 후 저장
-Dlog4j2.formatMsgNoLookups=true
. . (아래 내용 추가) ## Log4j vulnerability(CVE-2021-44228) -Dlog4j2.formatMsgNoLookups=true . . |
※ CVE-2021-45046 보안 이슈 대비 JndiLookup.class 삭제