<"노마드 코더" 유투브 채널에서 가져온 내용입니다.> 

우리나라 대부분의 웹 개발 프로젝트가 그렇겠지만,,,, 

JSP + JAVA(Srping or Struts) 기반으로 많이 개발하는 걸로 알고 있습니다.

저도 그랬지만, 거의 모든 프로젝트에 로그(LOG)를 쌓기 위해,

Java에서는 Log4J를 필수로 적용했었는데.. 이런 충격적인.. 이슈가.. 

Log4j2 10개의 악성 샘플군 정보

https://blog.netlab.360.com/ten-families-of-malicious-samples-are-spreading-using-the-log4j2-vulnerability-now/

Log4j2 취약점 이용한 악성코드 샘플 사례

https://samples.vx-underground.org/samples/Families/Log4J%20Malware/

Log4J 보안이슈 해결 방법

[옵션1] 아파치 서버의 최신 Log4J 파일을  2.15.0 이상 버전으로 업그레이드
. https://logging.apache.org/log4j/2.x/download.html

[옵션2] 현재 사용중인 log4j jar 파일 안에 있는 JndiLookup.class 파일을 삭제

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

[옵션3] 설정 파일에 아래와 같은 설정 두 가지 중 하나를 입력. 

log4j2.formatMsgNoLookups=true

OR

LOG4J_FORMAT_MSG_NO_LOOKUPS=true