Log4j란?
Apache에서 만든 로깅을 위한 자바 기반의 오픈소스 라이브러리로, 디버그용 도구로 주로 사용한다.
예를 들면 SQL문을 날렸을 때, 어떤 쿼리문이 실행되었고, 어떤 파라메터를 넣었으며
어떤 결과를 리턴하는지 보는 용도로 많이 쓴다..
근데 2021년 12월 즈음 보안 취약점 문제가 생겨<= CVSS 스코어 10점 만점 중 10점, 매우 높은 위험도의 취약점
최신 버전인 2.17.0 버전이 업데이트 되면서 이 버전으로 업데이트 하길 권고하고 있어, 하는 김에 정리해본다.
순서
1. pom.xml의 의존성 수정
2. Maven Update
3. 라이브러리 적용 체크
그럼 바로 가보자.
1. pom.xml의 의존성 수정
<!-- log4j-core -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.17.0</version>
</dependency>
<!-- log4j-api -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.17.0</version>
</dependency>
<!-- log4j-slf4j-impl -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-slf4j-impl</artifactId>
<version>2.17.0</version>
</dependency>
<!-- log4j -->
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
<!-- log4j-jcl -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-jcl</artifactId>
<version>2.6.2</version>
</dependency>
기존에 log4j를 쓰고 있었다면 해당 log4j 의존성을 제거하고, 위의 의존성을 넣어주고,
새로 프로젝트를 생성했다고 하면 그냥 위의 코드를 갖다 넣어주도록 하자.
( log4j-core는 필수이고, 나머지는 자신의 필요에 따라 넣어주도록 하자. )
2. Maven Update
log4j를 업데이트 할 프로젝트 -> 우클릭 -> Maven -> Update Project 순으로 눌러주도록 하자.
3. Maven Dependencies 라이브러리 체크
빨간박스로 쳐 놓은 아래 2개는 필수이니, 아래 2개가 없다면 다시 update를 하고 확인 해보도록 하자.
log4j-core-2.17.0.jar (필수)
KISA에서는 Log4j-core-*.jar만 필수라고 언급함.
여기까지 됬다면 성공적으로 log4j 업데이트가 완료 된 것이다. 말이 업데이트지
그냥 의존성 추가만 해주면 되니 어려울 것 없다.
