본문 바로가기
ColdFusion

[ColdFusion Security] LOG4J 이슈

by nooree 2022. 1. 6.

늦었지만 Coldfusion 서버들의 Log4J 이슈를 정리해 봤습니다. 현재 개발자나 사용자가 신규로 도입하고자 하는 ColdFusion은 대부분 Adobe社의 제품이거나 Lucee와 같은 오픈소스일 확률이 큽니다. 물론 레거시 시스템에서는 구형 Adobe ColdFusion 서버가 구동되고 있을 수 있고, 또 지금은 없어진 회사의 제품이 구동 중일 수 있습니다.

 

가장 유명하고 사실상 표준인 Adobe의 경우 다음의 링크에서 버전별로 조치방법을 구할 수 있습니다. 각 버전별로 대동소이하므로 자기에게 맞는 버전별 조치를 하시면 되는데 간단하게 설명드리자면, 서버 설치 경로의 jvm.config(텍스트파일)을 열어 임시조치하는 방법과 패치를 설치하는 방법으로 조치합니다.

 

Log4j vulnerability on ColdFusion (adobe.com)

 

Log4j vulnerability on ColdFusion

If you are using any third-party libraries that use log4j2, and hence vulnerable, search for log4j-core in <cf_root> directory. If log4j2 version (<= 2.10 and >=2.0-beta9) is found, remove the JndiLookup class from the classpath as mentioned bel

helpx.adobe.com

 

Lucee의 경우 실제 서버에는 1버전대의 log4j를 내장하고 있어서 2버전대의 이슈가 된 버전과는 상이하지만 이미 1버전대의 사용상에 보안문제 등이 있을 수 있다고 권고했기 때문에 버전 업데이트를 해야 하지만 의존하는 라이브러리들이 있을 수 있어서 공식적으로 최신의 log4j를 탑재한 배포판이나 패치를 기다려야 할 것 같습니다. 

 

또한 Adobe나 Lucee의 배포판이 아닌 Tomcat 등 Legacy에 Deploy한 경우 각각의 어플리케이션서버의 벤더 등에서 배포하는 업데이트나 조치사항을 확인해야 할 것 같습니다.

 

Lucee 참조 :

Implementing Log Rotation with Log4j :: Lucee Documentation

 

Implementing Log Rotation with Log4j :: Lucee Documentation

The Lucee Installer does not come with ability to rotate logs built into it. By default, the Lucee installers ship with a version of Tomcat that comes with the default java.util.logging. This is simple and effective logging that will work in most situation

docs.lucee.org

Lucee is not affected by the Log4j JNDI exploit CVE-2021-44228 - news - Lucee Dev

 

Lucee is not affected by the Log4j JNDI exploit CVE-2021-44228

The Lucee team did testing and code reviews on Friday and Lucee is not affected Lucee uses an older Log4j 1.2.17 In general, OSGI also mitigates/minimises these vulnerabilities if you’re using an old JVM you have other problems to worry about Tomcat is n

dev.lucee.org

 

댓글0