Log4j2 vulnerability analysis

이번 주말동안 log4j2에서 발견된 취약점으로 인해 난리가 났었다. https://github.com/apache/logging-log4j2/commit/c77b3cb39312b83b053d23a2158b99ac7de44dd3#diff-271353c1076e53f6893261e4420de27d34588bfd782806b5c66a3465c43b7f51 패치는 8일 전에 됐는데 아마도 해커들이 이 커밋로그 보고 페이로드 짜서 열심히 쑤시고 다닌 것 같다. 그래서 다들 급하게 버전 업데이트하고 waf룰 설정하는 것 같은데 exploit 특성상 너무 쉽게 우회가 돼서 그냥 버전을 업데이트하는 것이 중요한 것 같다. 패치는 다음과 같이 이루어졌다. 1. log4j2.formatMsgNoLookups의 기본 옵션..