error탐정

몇일전 log4j 관련해서 취약점이 이슈가 되면서 해당 취약점에 대해 알아보게 되었다.

우선 이슈가 되고있는 해당 취약점은 log4j의 버전이 2.x.x부터 2.15.0 미만인 경우에 해당한다고해서

만약 이 구간에 해당한다면 권고 버전인 2.15.0으로 log4j를 업데이트 진행해야한다. (단, java8버전이 필요) 

java7버전의 마지막 지원되는 버전이 2.12.1이라고한다.

그래서 프로젝트들의 log4j 버전을 먼저 확인하게 되었다.

우리는 메이븐을 사용하고 있고 pom.xml을 뒤져봐도 되지만

귀찮기도하고 한눈에 보기위해 간단하게 명령어를 쳐서 log4j jar 경로를 확인했다.

 find ./ -name 'log4j*.jar'

해당 명령어를 치게 되면, 내가 있는 위치 기준으로 관련파일들을 찾게 되고

아래와 같은 형태로 나온다.

./apache-tomcat-8.0.32/webapps/hyperic-sigar-1.6.4/sigar-bin/lib/log4j.jar
./apache-tomcat-8.0.32/webapps/WEB-INF/lib/log4j-1.2.17.jar

find 명령어가 아닌 다른방법으로는 log4j jar 파일경로를 새 파일에 저장하는 방법

find / -name “log4j-1.*.jar” > RESULT_log4j.txt; find / -name “log4j-core-2.*.jar” >> RESULT_log4j.txt
cat RESULT_log4j.txt

jar의 버전을 보면 log4j는 1.2.17으로 관련 취약점에 해당사항 없음으로 확인하였다. (pom.xml도 참고)

버전이 낮은 버전이라 추후 권고버전으로 업데이트가 필요할 듯 하다.

또 다른 이슈로  JMS Appender 사용 여부를 확인하는 방법은

jar -tf ./apache-tomcat-8.0.45/webapps/WEB-INF/lib/log4j-1.2.17.jar | grep JMSAppender