Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트를 권고하고 있습니다.

Apache JMeter 는 주로 사용자 PC에서 사용하므로 각별히 주의가 필요합니다.

현재 주의를 끌고 있는 서버만의 이슈가 아닙니다.

공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬 수 있으므로,
최신 버전으로 업데이트를 진행해야 합니다.


▶ 대응 방법

log4j에서 JNDI 파싱 : 원격 코드 실행에 대한 취약점을 야기하여 보안에 헛점이 생기므로, 해당 기능을 패치하거나 비활성화 해야 합니다.

다음 내용 중 하나의 방법을 선택하여 진행합니다.

① log4j 버전 업그레이드 : log4j Version 2.15.0 이상(Java 8 지원 필요)

② log4j V2.10.0 이상인 경우, 아래의 방법 중 하나를 사용합니다.

ⓐ Java 실행 인자(Arguments)에 시스템 속성을 추가 : -Dlog4j2.formatMsgNoLookups=true
ⓑ Java 실행 계정의 환경 변수 혹은 시스템 변수 설정 : LOG4J_FORMAT_MSG_NO_LOOKUPS=true

③ log4j V2.7.0 이상인 경우, log4j 설정(log4j.xml 등)에 PatternLayout 속성에 있는 %m 부분을 %m{nolookups} 으로 교체합니다.

위에서 언급한 log4j 버전 미만인 경우, JndiLookup 클래스와 JndiManager 클래스를 읽지 못하도록 조치해야 합니다.

④ log4j-core.jar 를 직접 빌드하거나, 자바 프로젝트에 패키지명까지 맞춰가면서 dummy화 시켜야 합니다.
※ ④의 방법은 KISA 인터넷 보호나라에서 대응 방안을 제공하고 있습니다.
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389


[참조]

1) 나무위키, https://docs.microsoft.com/ko-kr/windows-server/administration/windows-commands/forfiles

[내부 블로그]