반응형
- 상황
: 얼마전 log4j 보안 취약점 발견으로 현재 개발중인 프로젝트의 log4j 라이브러리를 버전을 2.15 -> 2.17.1 이상으로 업그레이드 해야했다.
spring boot 의 최신버전(2.6.1) 로 업데이트를 해도 여기 포함된 log4j 는 2.14.x 버전으로 아직 보안 취약점이 해결되지 않은 버전이었다.
우리 프로젝트는 spring boot 를 사용중이었고 spring-boot-starter-web 에 포함된 log4j 를 사용중이었다.
-> 다른 많은 라이브러리에서도 가져오고 있고 가장 먼저 선언된거에서 가져오는거였다. 그리고 여러개가 선언되어있어도 가장 높은 버전 하나만 사용되고 있었음! (그래서 하나하나 exclude 하지않아도 되고 해도 소용없었던 것)
- 해결
gradle 사용 시, build.gradle 에 추가.
ext['log4j2.version'] = '2.17.1'
maven 사용 시, pom.xml 의 properties 아래에 추가
만약 properites 를 쓰지 않는다면 dependency 찾아가서 각각 버전을 2.17.1 로 맞춰주면 된다!
<properties>
<log4j.version>2.17.1</log4j2.version>
</properties>
반응형
'개발 > 기타' 카테고리의 다른 글
| [기타] window 에서 port 검색 및 포트 죽이기 (1) | 2021.12.30 |
|---|---|
| [기타] PC 에서 가상환경에 SSH 접속하기 (0) | 2021.12.06 |