보안이슈가 크게 터졌다.
다행이 난 logback을 사용하고 있어 그 이슈에서는 약간은 벗어난 상황..
웬만하면 logback을 사용하길 권장한다.
난 유지보수를 3개 업체를 하고 있다
프리랜서로 업체와 일하고 유지보수도 3개를 하고 있으니
매우 바쁜편...
그중 1개는 내가 모두 만들어 납품한거라
속속들이 알고 있어 별 문제가 없는데
나머지 2개는 업체들이 만들고 중간에 유지보수 하는거라
잘 알지 못하는 부분이 발생하면
끙끙대며 문제풀이를 해야 하곤 한다
그중 하나의 유지보수 업체에서도 이번 보안 이슈에 대한 심각성을 인지하고
처리요청이 와서 한 2일 정도 본거 같다.
로그4(log4j)에 대한 무수히 많은 이런저런 해결법을 보고
가장 좋은것은 버전 업그레이드 인걸 알겠더라.
그래서 업그레이드 하러 가보니 얼라리요?
메이븐프로젝트인데 log4j dependency 가 없는거다.
인상찍.,...이런경우는 저 많은 dependency 중에 어떤놈이
로그4를 끌어다 쓰는 경우다.
에휴 확인 작업해야지 모..
한 30분 작업중....
없다...
이제 남은건 egovframework........
확인.. 음 이놈이다.
이가브를 지우면 로그4 로그도 없어진다.
그래 그렇다면 이가브의 버전을 함 높여봤다.
3.9 그랬더니 로그4 2.11 버전으로 높아진다.
해결책은?.....
그냥 dependency를 추가하는거다.
아래처럼.. 그러면 버전이 올라간다. 2.16으로
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.16.0</version>
</dependency>
결론적으로 보면
1. pom.xml 이나 스프링부트의 dependency에 로그4가 없더라도
실제 jar 라이브러리를 살펴보는걸 권장한다.
2. 있다면 다른것은 하지말고 위의 depemdency를 추가하라.
3. 그리고 실제 jar 가 변경되었는지 여부를 반드시 확인하라.
문제는 이가브를 쓰는 경우
이가브 쪽에 들어가서 대응책을 봐도
자체적으로 로그4를 쓰고 있다는 것을 언급하지 않고 있다는 점이다
물론 간단하게 처리가 되지만
pom.xml 이나 dependency 만 보고 난 사용안하니까 문제없어라고
할수도 있어 우려가 된다.
꼭 확인해봐라....
많은 공공기관 국가기관이 이가브를 쓰고 있는데
혹시라도 잘못된 대응을 할까봐서....
모 알아서 잘들 하겠지.
난 우리나라 공공기관들 복지부 등
쓰레기라고 생각한다. 직접 경험해봐서....
'IT' 카테고리의 다른 글
Sybase 는 정말 .. 에휴,,, eucksc 한글 charset 인경우 (0) | 2022.03.17 |
---|---|
스프링 페이징 처리.. (0) | 2022.03.17 |
[웹폰트] 웹폰트 로딩 속도 빠르게 하기 (0) | 2021.11.20 |
[이클립스] Antimalware Service Executable 때문에 느려질때... (0) | 2021.11.19 |
HTTP/2 톰캣에서 사용하기 (0) | 2021.11.16 |