이슈관리
Log4j 2.0 ~ 2.14.1 version 취약점
datajoy
2021. 12. 11. 18:05
취약점 설명
Java 로깅 라이브러리(log4j)를 이용한 원격 명령 실행(CVE-2021-44228)
로그메시지 및 파라미터에 사용되는 JNDI기능의 메시지 조회 대체 기능이 활성화되어 있을 경우 임의의 코드 실행 가능
대 상
Apache Log4j 2.0 ~ 2.14.1 사이에서 발생
대응 방안
1) log4j 2.15.0 버전으로 변경
2) "log4j2.formatMsgNoLookups"를 "true"로 설정