[Jenkins] Log4j 취약점 확인

이 글은 혼자 학습한 내용을 바탕으로 작성되었습니다.

틀리거나 잘못된 정보가 있을 수 있습니다.

댓글로 알려주시면 수정하도록 하겠습니다.

---

 

1. Jenkins Log4j 사용 확인

이번 Log4j 취약점이 공식 확인된 후 개인 서버에 설치된 프로그램 중 Jenkins의 확인이 필요하다는 것을 인지하게 되어 이번 글을 작성 하게 되었습니다.

 

Jenkins는 java로 구현된 시스템입니다. 그래서 Log4j를 사용할 가능성이 있기에 확인이 필요합니다.

 

다행히 Jenkins의 공식 사이트에서 Jenkins의 경우 Log4j를 사용하지 않는 내장 Jetty 웹 애플리케이션 컨테이너를 사용하고 발표 하였습니다.

 

하지만 추가적인 문제는 Jenkins에서 다운로드하였던 Plugin이 Log4j 프레임워크를 사용할 수도 있다는 것입니다.

 

Jenkins의 Plugin에서 Log4j를 사용하는지 확인하는 방법

1. 먼저 Jenkins에 로그인하여 Main 화면으로 접속합니다.
2. 주소창에 http://Jenkins서버 주소/script를 통해 Jenkins의 script 화면으로 이동합니다.
   그럼 아래 이미지와 같은 스크립트 콘솔 창으로 이동이 됩니다.
   

   

3. 스크립트 콘솔에

   org.apache.logging.log4j.core.lookup.JndiLookup.class.protectionDomain.codeSource​

   위 코드를 입력하고 실행을 진행합니다.

결과에 No such property: org for class: Script1가 출력되면 Log4j를 사용하고 있지 않는 것입니다.

 

위 방법 또한 Jenkins 공식 블로그에 나와있는 방법이므로 위 방법을 이용하면 현재 Jenkins에서 Log4j를 사용하고 있는지 확인이 가능 합니다.