TEUS.me

 
 

 

갑자기 Log4j 사태 때문에 관련 업계 쪽에선 폭탄이라도 맞은 분위기인 것 같다.

상당수의 자바 개발자가 사용하는 애드온에 서버의 모든 권한을 가져올 수 있는 오류가 있다니...

 

정부를 비롯해서 관련 기관/업계에선 부랴부랴 난리가 났고, 이번에도 어김없이 가짜뉴스가 판친다.

 

유명한 모 사이트에 올라온 얘긴데, 글쓴이는 사실을 알고 있음

 

해당 오류는 2.x 대에 있는데, 전자정부는 1.2 사용하니까 문제 없다[각주:1]고??

물론, 답글은 뭐 이런 식이고...

 

전자정부가 정말로 Log4j 1.x를 사용한다고 믿는 청순한 사람들

 

하지만, 이건 조금만 찾아보면 쉽게 진위여부를 확인할 수 있다.

전자정부 표준 프레임워크는 3.1부터 Log4j2.0을 사용하고 있었다.

 

 

그리고, 이 3.x는 '14년~'15년부터 사용되었고.

 

 

세줄 요약

1. 전자정부 프레임워크는 6년 전 503 시절부터 Log4j 2.x 사용

2. 원 글 올린 사람은 이 사실을 알면서 낚시

3. 낚인 사람들은 이거 퍼나르면서 정부 비아냥

 

  1. 물론 1.2는 해당 오류가 없을 뿐 다른 취약점이 있음 [본문으로]

공유하기

facebook twitter kakaoTalk kakaostory naver band

댓글

비밀글모드

  1. 원래 선무당이 사람 잡는 법이지요.. 굳이 log4j 가 아니더라도 네트워크상에 돌아가는 모든 프로그램은 잠재적으로 취약점이 존재할 수 있는 것인데.. 사람이 하는 일이니 100% 완벽할 순 없으니까요.
    2022.01.03 08:21 신고
    • 맞는 말씀입니다.
      사실 본질적으로는 '언제나 취약성은 있을 수 있고 유사시엔 대응해야 한다'를 염두에 두어야 하는데 말입니다...
      2022.01.03 12:38 신고