playXP

서브 메뉴

Page. 419 / 12505 [내 메뉴에 추가]
글쓰기
작성자 아이콘 Frisbee
작성일 2021-12-13 16:04:10 KST 조회 481
제목
log4j 이슈로 난리다

https://news.naver.com/main/read.naver?mode=LSD&mid=sec&sid1=105&oid=018&aid=0005104792 

 

log4j라고 해서

자바기반 웹프로그래밍에서 쓰이는 로그 작성하는 api인데

오픈소스이고 업계에서 워낙 유명하기도 하거니와

대한민국의 전자정부프레임워크에서도 어지간해서는 log4j를 사용하는지라

우리나라에서는 꽤 많은 부서/업체에서 해당 프로그램을 쓴다고 봐도 무방함.

 

그런데 그런 프로그램에 결함이 발생함

심플 요약하면 로그를 기록할 때 특정 코드를 넣게 하면

필요한 값을 뽑아낼 수 있음

 

예를 들어 공고가 log4j를 쓴다고 하면

지금 쓰고 있는 글에 그런 코드를 집어넣고 글쓰기를 누르면

원하는 값이 뙇 하고 튀어나오는식. 물론 공고는 php라 그럴리는 없겠지만

 

여하튼 업계에서 이례적으로

쥰내 위험하니까 닥치고 조치하셈 이라는 이야기를 주말에 뿌려서

log4j를 쓰는 대부분의 백엔드 부서들이 주말내내 고통받았다고 이야기를 들음.

 

근데 재미있는건

대한민국에서 전자정부프레임워크 라는 개념을 처음 시행한게 2010년대 초반 즈음인데

그 시기에 도입해놓고 아직까지 차세대 업그레이드를 안한 부서가 다수임

당시의 log4j는 1버전대이고 현재 이슈가 된건 2버전인데

어? 우리는 해당버전이 아니라서 상관없다는데요? 라는 식으로 대처하는 부서가 많다는거임

1버전은 너무 구버전이라 지원이 중단된지 오래이고

그렇기 때문에 지금 유행하는 결함이 문제가 아니라 다른 결함들에 대처를 못하는 문제가 있다보니

그게 또 문제

 

게다가 업데이트 권고 버전은 2.15.0 버전인데

해당 버전으로 업그레이드 할려면 서버에 자바가 8버전 이상이어야 되지만

8버전 깔리지 않은 서버가 훨 많은 시대이고

log4j를 1에서 2로 바로 업그레이드 할 경우 서버 환경에 따라 오류가 발생할 수도 있거니와

설령 어떻게든 업그레이드 한다해도 오류없이 업그레이드가 될거라는 보장이 없다보니

여러모로 골때리는 상황.

 

 

지속적인 허위 신고시 신고자가 제재를 받을 수 있습니다.
신고 사유를 입력하십시오:

아이콘 개념의극한 (2021-12-13 16:05:53 KST)
0↑ ↓0
센스 이미지
웹쪽 전공이 아니라 그런데 사용자가 입력하는 부분에 input sanitization 안해서 생기는 문제인가요?
아이콘 The-ANTARES (2021-12-13 16:07:37 KST)
0↑ ↓0
센스 이미지
이 문제가 마크에서 시작됐다지
아이콘 Frisbee (2021-12-13 16:14:55 KST)
0↑ ↓0
센스 이미지
개념의극한 / 아마 그런느낌으로 보셔야 될겁니다.
다만 다른 로그 작성 프로그램은 문제가 없는데 log4j쪽만 문제가 있다고 하는걸 보면 입력칸에서 필터링 해야되는게 아니라 로그를 출력하는 쪽에서 뭔가를 건드려야 되는게 있는듯 합니다
아이콘 Frisbee (2021-12-13 16:16:30 KST)
0↑ ↓0
센스 이미지
The-ANTARES / 마크가 겁나 유명한 사례이긴 한데 시작은 마크가 아닌걸로 알고 있습니다. 해당 이슈가 보고되고 나서 마크쪽에서도 발견하고 조치를 한 걸로 알고 있습니다
아이콘 개념의극한 (2021-12-13 16:21:29 KST)
0↑ ↓0
센스 이미지
아항 ㄱㅅㄱㅅ
댓글을 등록하려면 로그인 하셔야 합니다. 로그인 하시려면 [여기]를 클릭하십시오.
롤토체스 TFT - 롤체지지 LoLCHESS.GG
소환사의 협곡부터 칼바람, 우르프까지 - 포로지지 PORO.GG
배그 전적검색은 닥지지(DAK.GG)에서 가능합니다
  • (주)플레이엑스피
  • 대표: 윤석재
  • 사업자등록번호: 406-86-00726

© PlayXP Inc. All Rights Reserved.