빅데이터/hive

[hive] hive 2.3 버전 log4j2 취약점 처리 방안

hs_seo 2021. 12. 13. 22:27

hive 2.3 버전은 log4j 2.6 버전을 이용하기 때문에 CVE-2021-44228 취약점을 제거해야 합니다.

 

취약점

https://www.popit.kr/log4j-%EB%B3%B4%EC%95%88-%EC%B7%A8%EC%95%BD%EC%A0%90-%EB%8F%99%EC%9E%91%EC%9B%90%EB%A6%AC-%EB%B0%8F-jenkins-%EC%84%9C%EB%B2%84-%ED%99%95%EC%9D%B8-%EB%B0%A9%EB%B2%95/?fbclid=IwAR0CBgT0ZP6eLCLpPKET7KfXX3av4NGQ37io5g2Wkj4yepI07wtsEliP-Eg 

 

log4j 보안 취약점 동작원리 및 jenkins 서버 확인 방법 | Popit

최근 log4j의 보안 취약점이 크게 이슈가 되고 있습니다. 많은 개발자나 운영자들이 이 조치를 위해 정신이 없을것 같아 간단하게 글로 남겨 봅니다. log4j는 자바를 사용하는 많은 프로젝트에 사

www.popit.kr

 

해결방법

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389 

 

KISA 인터넷 보호나라&KrCERT

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

임시 적인 조치로 jar 파일의 JndiLookup 클래스를 제거하는 방법이 있습니다.

다음과 같음 명령어로 클래스를 제거합니다. 이 방법을 이용하면 하이브를 실행할 때마다 클래스를 찾지 못한다는 에러가 발생하지만 동작에는 문제가 없습니다.

zip -q -d log4j-core-2.6.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

 

다음으로는 하이브 서버를 새로 빌드하는 방법입니다. 사용중인 버전의 소스를 다운 받아서 Log4j를 이용하는 곳을 수정해 빌드를 새로 해야 합니다.

반응형
저작자표시 비영리 동일조건