IT/Apache2 [log4j][log4j2] 보안 취약성(CVE-2021-44228) log4j-2.15.0 미만의 버전에서 보안 취약성이 검출되었습니다. (라이브러리 중 log4j-core 모듈) CVE-2021-44228, 이는 Log4Shell 혹은 LogJam 이라고 합니다. 이 취약점은 JNDI와 LDAP을 이용하여 명령어 실행이 가능하다. log4j에는 ${} 기반으로 자바 객체를 볼수 있는 문법이 존재한다. 이를 이용하여 취약점을 공격한다. 해당 취약점은 log4j-2.x 이상만 해당되며 1.x 버전은 해당하지 않는다 1.2.x 버전에 대한 취약점은 JMSAppender를 사용했을때, 2.x 버전과 같은 취약점이 발견될 수 있다고 하네요 해결 2.15.0 이상의 버전으로 업그레이드 하는 방법 2.10.0 이상은 옵션을 추가하는 방법으로 JNDI 파싱을 막는 방법이다. 자바 실.. 2021. 12. 14. [Apache][mod_headers] HTTP Header 다루기, Set-Cookie 변경 Cookie의 Secure나 HttpOnly를 추가하면서 아래의 내용을 정리 하였습니다. HTTP Header를 다루기 위해서는 "mod_headers" 모듈을 사용해야 합니다. mod_header 모듈 설정 [conf/httpd.conf] LoadModule headers_module modules/mod_headers.so httpd.conf 파일에서 위와 같이 주석을 풀어주시거나 모듈을 로드 하면 됩니다. Header 다루기 [conf/httpd.conf] 아래의 명령어를 "httpd.conf" 파일의 맨 아래 라인에 넣어주면 HEADER를 조작 할 수 있습니다. Header [condition] set|append|add|unset|echo header [value] [early|env=[!]va.. 2020. 6. 17. 이전 1 다음