- 22.01.24 경 Apache Log4j, Logback 에서 치명적인 보안 이슈가 있어 상위버전 업그레이드를 하라는 조치가 내려왔다.
- JEUS 에도 일부 버전에 Log4j를 사용하는 로직이 있어 해당 버전을 업그레이드 하여 배포가 되었다.
- 관련 내용은 아래 링크를 통해 자세히 확인 할 수 있다.
- WebtoB는 보안 이슈 대상이 아니다. (Log4j, Logback 사용하지 않음)
*TmaxSoft TechNet 공지사항
https://technet.tmaxsoft.com/ko/front/support/notice/viewNotice.do?board_seq=CUST-20211221-000007
TmaxSoft Technical Network [technet-02]
1. 개 요 Apache Log4j / Logback보안취약점 발생에 따른 TmaxSoft 에서 제공해드리는 보안취약점 조치 가이드 문서입니다 2. 보안취약점 정보 1) Apache Log4j 2 Apache Log4j 2에서 발생하는 원격코드 실행 취약
technet.tmaxsoft.com
1. 패치파일 다운 받기
아래 사이트를 통해 JEUS 보안취약점 패치를 받는다. (회원가입 및 로그인 필요)
Technet > 다운로드 > JEUS
Log4j 보안취약점 패치 다운로드 (Any Platform 버튼을 누르면 JEUS 버전별 파일이 있음)
Logback 보안취약점 패치(Any Platform 버튼을 누르면 JEUS 버전별 파일이 있음)
2. JEUS 중지 후, 패치파일 교체하기
패치를 적용 하기 위해서 JEUS를 먼저 중지시켜야 한다. JEUS6의 경우 jdown을, JEUS7 이상의 경우 msdown, nmdown, dsdown 혹은 서비스 중지 후 파일을 교체한다.
jeus-uddi.war 파일은 JEUS_HOME/lib/systemapps/uddi 경로에 webadmin.war 파일은 JEUS_HOME/lib/systemapp 경로에 있다.
기존 파일을 백업 해주고 교체해준다.
jeus-uddi_v2c.ear jeus-uddi_v3c.ear 파일 경로
webadmin.war 파일 경로
3. 파일 삭제 후, 기동 하기
JEUS7 이상 버전의 경우 JEUS_HOME/domains/jeus_domain/servers/adminServer를 삭제 해준다.
해당 파일에 webadmin.war 파일이 압축풀리기 때문에 이전 버전이 남아 있을 수 있다.
이 파일은 JEUS를 재 기동하면 다시 생긴다.
윈도우의 경우 파일 이름이 길어서 삭제가 안되는 파일이 있는데 무시해도 된다.
해당 파일 삭제 후, JEUS 기동 하면 끝.
