지난 주말 아주 난리가 났었다고 함 난 그냥 일개 국좀웹개발자에 불과하기 때문에 자세한것은 모르겠지만 대충 요약하면 log4j의 특정버전들이 로깅을 할때 특정 문자열들(ex:${java:version}) 같은것들은 그냥 문자열로 출력하는것이 아니라 실행을 시켜주는데 이걸 이용해서 RMI등을 통해 원격에서 악성코드를 인젝션해서 해킹하는 방법인거 같음. log4j는 자바로 구축된 곳은 거의 100% 들어있을테고 입력값 로깅들은 워낙 많이 하니까 이난리가 난거 같음.거참 머리들도 좋음. 거의 모든서버 위험은 좀 에바같지만 아무튼 위험한거는 사실이라 이미 log4shell이라고 능욕당하는 중 내가 관리하는데는 워낙 다 구버전들이라 문제가 된 log4j2..........
아파치 log4j 보안이슈로 버전 업그레이드 준비에 대한 요약내용입니다.
자세한 내용은 아래에 원문링크를 확인해주시기 바랍니다.
