LOG4J 취약점(CVE-2021-XXXXX)은 무엇일까?
원격코드 실행(RCE: Remote Code Execution)에 취약하다고 하는데.. Java나 log4j에 따라 보안등급이 다른것 같고 취약점이 발견된 버젼과 조치방법에 대해 링크된 사이트에서 자세하게 볼수 있는것 같습니다.Log4J(Log4Shell) 역대 최악 보안 취약점(CVE-2021-44228) 정리
Apache Log4j Security Vulnerabilities
Log4j 취약점에 대한 PO에서의 대응
기존 XI/PI 그리고 PO는 JAVA기반 플랫폼이라 메시지모니터링이나 다른 관련 메뉴에서 로그출력되는 내용들을 보면 LOG4J 라이브러리를 사용하고 있지않을까 의심되기도 합니다.그럼 해당 라이브러리는 PO에 어디 위치에 있을까? 궁금해지기도 하는데요.
NWA > Configuration > Infrastructure > Java Class Loader > Viewer > livrary로 검색하면 lib/commons-logging-1.1.1.jar 파일을 볼수 있고 외부사이트에서 같은 버젼의 .jar파일을 다운로드받아 압축을 풀어보면 pom.xml에 log4j가 dependency되어있는걸 볼수 있었던것 같은데.. 해당 취약점과 관련있는지는 잘 모르겠네요.








