인프런 커뮤니티 질문&답변

메모장님의 프로필 이미지
메모장

작성한 질문수

스프링 MVC 1편 - 백엔드 웹 개발 핵심 기술

로깅 간단히 알아보기

요즘 인터넷상에 핫해서 당연히 아시겠지만 log4해킹관련해서 질문있습니다!

작성

·

605

3

Log4J 또는 Log4Shell이 취약점으로 되어 전세계 제일 유명한 사이틀 마저도 이로 이루어진 사이트들이 전부 해킹 당하고있고 심지어 누가 했는지도 알수없다고 하는데요, 강의 내용상, Log4J를 포함하는 게 SLF4J이고 이걸 구현한것이 Logback이며 이걸 실무에서 가장 많이 쓴다고 배웠습니다.

현재 이렇게 보안이 뚫린 상태에서 Logback또한 취약점이 될까요?

답변 2

3

해당 취약점보다는 실행시키기 어렵지만 같은 유형의 취약점은 있습니다.

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36396

메모장님의 프로필 이미지
메모장
질문자

소중한 정보 공유해주심에 정말 감사드립니다 화이팅하세요!

3

안녕하세요, 메모장 님. 공식 서포터즈 codesweaver 입니다.
.
현재, LogBack 은 동일한 보안 이슈가 없는 상태입니다. 그래서 Log4J를 사용하던 많은 업체에서 이를 LogBack으로 교체하고 있습니다.

.

그러나 LogBack 또한 100% 안전하다고 장담할 순 없습니다. 아직 알려지지 않은 취약점이 언제라도 노출될 수 있기 때문입니다.

.

.보안 문제에 100% 안전한 프로그램은 없습니다. 이슈가 발생했을 때 발빠르게 대처할 수 있도록 보안 관련 정보를 주기적으로 검토하고, 또 라이브러리는 가급적 안정버전이 나올 때마다 최신의 안정 버전으로 업그레이드 하는것이 이런 문제를 예방하는데 도움이 됩니다. ('안정 버전'이 중요합니다. 최신버전로 무조건 갈아타는 것은 매우 위험한 행동입니다!)

.

범죄 예방 전문가들은 '범죄를 100% 예방할 순 없다. 대신 내 이웃보다 조금 더 보안을 강하게 할 순 있다. 그러면 범죄 대상이 내가 될 확률을 줄일 수 있다'라고 조언하고 있습니다.

.
감사합니다.

메모장님의 프로필 이미지
메모장
질문자

해당 질문에 대한 내용뿐 아니라 그외에 더 필요한 정보까지 주시다니.. 친절한 답변 정말 감사드립니다! 

오늘하루도 행복하세요~~

메모장님의 프로필 이미지
메모장

작성한 질문수

질문하기