12/12일 주말에 근무를 하고 있었다.
비교적 간단한 DB작업 몇개 해주고, 쉬고 있었는데 갑자기 울리는 전화.
"혹시 로그 모듈 뭐 쓰시나요? 혹시 log4j면 버전이 어떻게 되시나요??"
무슨일인가 싶어서 찾아봤더니, 요약하면 log4j를 이용하여 서버에 접근 할 수 있는것.
더 내용을 찾아보았다.
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
찾아보니까 그냥 넘어갈 내용은 아닌듯하다.
벌써부터 평일에 빗발칠 전화에 식은땀이 흐른다...
당장 하던일을 멈추고 svn에 있는 담당하는 프로젝트를 죄다 꺼내본다.
프로젝트가 전부 전자정부프레임워크 기반이라, 내 기억엔 log4j가 기본으로 들어 있는 기억이 있다.
어김없이 들어있는 log4j.
다시한번 KISA의 글을 살펴보니, 해당 취약점이 적용되는 버전은 log4j 2이상에서만 되는 듯하다.
반면 전자정부프레임워크는 1버전....
이때만큼은 공무원 분들에게 감사를 느낀다.
혹시나 싶어서 취약점 검사 모듈을 다운받아 각 프로젝트마다 돌려보았다.
labrador
labrador.iotcube.com
결과는 세이프.
'잡담' 카테고리의 다른 글
| 2년 만에 쓰는 잡설 (0) | 2024.12.11 |
|---|
댓글