Oracle에서는 weblogic에는 log4j 관련하여 별다른 patch를 제공하지 않음 (악용될 가능성이 없다고 판단)
## weblogic 12.2.1.3과 12.2.1.4의 한해 Apache Log4j 2 취약점을 완화시키기 위한 guide (from. My Oracle Support)
1. log4j version 확인
-> find /{engine_home} -name log4j*.jar
2. log4j 버전 (2.0~2.9)
-> JndiLookup.class를 제거
(방법 : {engine_home}/oracle_common/modules/thirdparty의 log4j-2.x.jar(버전은 상이)를 test 디렉토리 생성 후 복사해 넣기. -> {java 경로}/bin/jar -xvf log4j-2.x.jar 이후 /org/apache/logging/log4j/core/lookup 경로로 접속 -> JndiLookup.class 백업 파일 만들고 삭제)
3. log4j 버전 (2.10.0~2.14.1)
-> JVM option 추가 (setDomainEnv.sh)
(ex>JAVA_OPTIONS="${JAVA_OPTIONS} -Dlog4j2.formatMsgNoLookups=true")
-----------------------------------------------------------------------------------------------------------------------------------
4. 추가된 내용
윗 2,3번을 진행하기 전에 패치를 할 수 있으면 패치 진행
### patch 33660731 진행 ###
- 각각 14.1.1, 12.2.1.4, 12.2.1.3에 해당 패치 적용 사전에 2021.10 최신 PSU 패치가 적용되어 있어야 한다.
- 패치 이후 Weblogic 12.2.1.3은 log4j 버전이 1.2.17에서 2.15.0으로 변경
- 패치 이후 Weblogic 12.2.1.4와 14.1.1은 log4j 버전이 2.11.1에서 2.15.0으로 변경
'Oracle > Weblogic' 카테고리의 다른 글
Weblogic MW_HOME, WL_HOME, ORACLE_HOME (0) | 2021.12.15 |
---|---|
WLS 11g 설치 (0) | 2021.12.14 |
Weblogic plugin parameter 정리 (0) | 2021.12.10 |
Weblogic.xml 옵션 정리 (0) | 2021.12.10 |
Weblogic 콘솔에서 server, access log 설정 (0) | 2021.12.10 |