티스토리 뷰
2021년 12월 13일부터 Log4j 취약점 문제로 제가 일하는 곳에서도 문의를 많이 받았습니다.
취약점은 2021년 11월 24일에 발견되었다고 하는데, 이 취약점을 악용하여 악성코드를 실행할 수 있어 매우 위험하다고 합니다. 그래서 중요 서비스를 하는 곳은 주말부터 긴급하게 패치나 우회 방안들을 적용했던 것 같습니다.
제가 기술지원하는 Informix를 사용하는 곳에서도 취약점이 없는지 문의가 많았습니다. Informix 서버는 java 기반이 아니기 때문에 별 문제가 없을거라고 생각했습니다. 그런데 InformixHQ의 jar 파일내에 JndiLookup.class 가 포함되어 있어서 사용중인 곳에는 해당 프로세스 중지를 권고했습니다.
급한 마음에 IBM Community에도 Log4j 취약점을 확인하는 방법에 대한 질문글을 올렸는데, 대부분 사용자들이 InformixHQ를 중단한 것만 확인할 수 있었습니다. 오늘 해당 취약점에 대한 IBM의 공식 workaround가 공개되어 공유드리고자 합니다.
요약하자면 최신버전인 InformixHQ 1.5.0 버전에서만 Apache Log4j 2.14.0를 사용한다고 합니다.
따라서 그 이전 버전에는 영향이 없다는 건데요.
취약점을 회피하려면 InformixHQ 서버와 에이전트 실행시 아래와 같이 java 명령에
-Dlog4j2.formatMsgNoLookups=true 옵션을 지정하면 됩니다.
# InformixHQ Server 시작
java -Dlog4j2.formatMsgNoLookups=true -Dfile.encoding=utf-8 -jar informixhq-server.jar informixhq-server.properties &
# InformixHQ Agent 시작
java -Dlog4j2.formatMsgNoLookups=true -Dfile.encoding=utf-8 -jar informixhq-agent.jar informixhq-agent.properties &
다른 여러 블로그등에서도 Log4j 취약점을 회피하기 위해 많이 알려진 방법입니다. 공식적으로 확인되어 안심이 되네요.
Tech Note: Log4j Vulnerability ( CVE-2021-44228 ) in IBM Informix workaround
- Total
- Today
- Yesterday