[Issue] Log4j 보안 이슈 확인하기

 배경 

https://news.v.daum.net/v/20211211220417926

"컴퓨터 역사상 최악의 취약점 발견" 보도에 국정원 "선제적 조치 취해"

위 기사 내용과 같이 log4j의 보안 취약점이 발견이 되었고 Java를 기반으로 소스에서 log4j를 로깅 라이브러리로 많이 사용하고 있다고 해서 회사에서 사용 중인 Zeppelin, Jenkins에 대해서 log4j가 문제가 있는지 여부를 확인해 보았다. 

 조치 방법 

1. Jenkins

• 브라우저에서 "https://<jenkins 서버>/script를 입력한다. 
• 다음 코드를 입력하고 Run 버튼 클릭
  

    org.apache.logging.log4j.core.lookup.JndiLookup.class.protectionDomain.codeSource​

• 결과 화면에 다음 메시지가 나타나면 문제가 없는 것 
  

      groovy.lang.MissingPropertyException: No such property: org for class: Script1​​

 

https://www.popit.kr/

"log4j 보안 취약점 동작원리 및 jenkins 서버 확인 방법"
위 글을 참고하여 진행하였습니다. 

 

2. Zeppelin

다음 사이트를 통해 문제가 되는 log4j의 버전을 확인하였다. 

https://www.lunasec.io/docs/blog/log4j-zero-day/

Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package | LunaSec

다음 버전 범주에 사용중인 Zeppelin의 log4j 버전이 포함된다면 2.15버전으로 업데이트를 시켜줘야한다. 

# Zeppelin의 log4j  버전을 알아보는 방법은 다음과 같다. 

 

Zeppelin은 오픈소스로 운영되어서 Apache Zeppelin GitHub를 통해서 사용 중인 버전의 Zeppelin에서 사용하는 log4j의 버전을 확인할 수 있다. 

"pom.xml" 파일은 라이브러리를 모아두는 파일인데 이를 확인하면 다음과 같이 log4j의 버전을 확인할 수 있다.