Log4J
-
[Log4j] Zero Day 취약점기타 2021. 12. 26. 22:59
1. Log4j Log4j는 자바 진영에서 사용되는 Log를 남기는 프레임워크입니다. Log4j는 자바로 구현된 시스템이라면 많이 사용하는 프레임워크로 이번 취약점이 광범위한 보안 이슈인 이유입니다. 2. Log4j 취약점 이번 취약점은 알리바바에 의해서 12월 9일 처음 공개되었으며 Log4j 취약점은 Zero Day 취약점이라고 불려집니다. Zero Day 취약점은 해당 취약점에 대한 패치가 발표되기 전에 해당 취약점으로 공격이 이루어지는 것을 말합니다. 결국 Zero Day는 개발자 또는 관리자가 대응할 시간이 제로 이기 때문에 Zero Day 취약점이라고 불리는 것입니다. CVSS 취약점 등급은 10점 만점에 10점일 정도로 심각한 취약점이라고 합니다. 또한 이번 취약점은 2.0 beta-9 버전..
-
[Jenkins] Log4j 취약점 확인CI-CD 2021. 12. 22. 14:12
이 글은 혼자 학습한 내용을 바탕으로 작성되었습니다. 틀리거나 잘못된 정보가 있을 수 있습니다. 댓글로 알려주시면 수정하도록 하겠습니다. 1. Jenkins Log4j 사용 확인 이번 Log4j 취약점이 공식 확인된 후 개인 서버에 설치된 프로그램 중 Jenkins의 확인이 필요하다는 것을 인지하게 되어 이번 글을 작성 하게 되었습니다. Jenkins는 java로 구현된 시스템입니다. 그래서 Log4j를 사용할 가능성이 있기에 확인이 필요합니다. 다행히 Jenkins의 공식 사이트에서 Jenkins의 경우 Log4j를 사용하지 않는 내장 Jetty 웹 애플리케이션 컨테이너를 사용하고 발표 하였습니다. 하지만 추가적인 문제는 Jenkins에서 다운로드하였던 Plugin이 Log4j 프레임워크를 사용할 수도..