[긴급] 전자정부프레임워크 Log4j 취약점 이슈 조치

1. 개요

지난 11일 보고 된 Log4j 관련 보안 취약점(뉴스기사 : https://www.boannews.com/media/view.asp?idx=103257&direct=mobile) 관련하여 긴급히 패치가 필요해 졌기에 해당 조치 사항에 대하여 공유 합니다.

 

2. 전자정부프레임워크 대응

전자정부 홈페이지에 가보면 긴급 공지(https://www.egovframe.go.kr/home/ntt/nttRead.do?menuNo=74&bbsId=6&nttId=1838) 가 올라와 있긴 한데, 해당 내용은 KISA 에서 보고한 내용을 그대로 복&붙 한 거라 실제 프레임워크 설정 변경에 1도 도움이 안 됩니다.

 

3. 조치

이 글은 전자정부 3.8과 전자정부 3.10을 기준으로 작성되었습니다. (필자 PC에 설치 된 버전이 이것 두 개라..)

 

[workspace경로\프로젝트 폴더\src\main\resources] 폴더에 보시면 log4j2.xml 파일이 있습니다.

해당 파일을 열어보면 <Appenders> 하위에 <PatternLayout> 이라는 태그가 있을 건데 거기 있는 %m 을 %m{nolookups} 로 변경하도록 합니다.

 

이는 아파치 제단의 보안 취약점 조치 사항(https://logging.apache.org/log4j/2.x/security.html)에 나오는 내용입니다.