Log4shell 명령 사용

소개

snyk log4shell은 snyk test 및 snyk test --scan-all-unmanaged 명령을 보완하는 Snyk CLI 명령으로, 매니페스트 파일(예: pom.xml 또는 build.gradle)에 선언되지 않은 경우에도 Log4Shell 취약점(CVE-2021-44228)의 영향을 받는 Log4j 라이브러리의 흔적을 찾는 데 도움이 됩니다.

이 명령은 빌드된 프로젝트와 타사 애플리케이션을 테스트합니다.

Snyk 취약점 DB 항목에서 Log4Shell 취약점에 대해 자세히 알아보세요.

패키지 관리자 매니페스트 파일을 사용하는 Java 프로젝트에서 Log4Shell 취약점을 테스트하려면 Maven 프로젝트 옵션 및 Gradle 프로젝트 옵션 섹션을 참조하세요.

snyk test --scan-all-unmanaged에 대해 자세히 알아보려면 CLI 참조의 Maven 옵션 섹션을 참조하세요.

사용법

snyk log4shell을 사용하여 Java 프로젝트를 스캔하여 프로젝트에 다음이 포함되어 있는지 확인합니다.

취약한 버전의 Log4j가 포함된 .jar 또는 .war 파일.
취약한 버전의 Log4j 라이브러리에 존재하는 것으로 알려진 파일. 이러한 발견은 전체 Log4j가 포함될 가능성이 있음을 나타냅니다.

실행 방법

최신 버전의 Snyk CLI를 설치합니다. Snyk CLI 설치를 참조하세요.
프로젝트가 빌드되었는지 확인합니다.
스캔할 프로젝트 디렉토리로 이동합니다.
snyk log4shell을 입력합니다. 참고: 이 명령은 추가 인수가 필요하지 않으며 지원하지도 않습니다.

스캔 결과

스캔이 완료된 후 결과가 표시됩니다.

예시:

$ snyk log4shell
이 명령은 이미 빌드된 아티팩트에 대한 것입니다. 소스 코드를 테스트하려면 `snyk test`를 사용하십시오.

결과:
취약한 버전의 log4j가 감지되었습니다.
         demo-0.0.1-SNAPSHOT/WEB-INF/lib/log4j-core-2.14.1.jar
         demo-0.0.1-SNAPSHOT.war/WEB-INF/lib/log4j-core-2.14.1.jar
         demo-0.0.1-SNAPSHOT.war.original/WEB-INF/lib/log4j-core-2.14.1.jar

이 취약점을 수정하는 것을 강력히 권장합니다. 업그레이드로 수정할 수 없는 경우 다음 완화 정보를 참조하십시오.
        - https://security.snyk.io/vuln/SNYK-JAVA-ORGAPACHELOGGINGLOG4J-2314720
        - https://snyk.io/blog/log4shell-remediation-cheat-sheet/

취약한 Log4j 라이브러리의 흔적이 발견되지 않으면 결과는 다음과 같이 표시됩니다.

$ snyk log4shell
이 명령은 이미 빌드된 아티팩트에 대한 것입니다. 소스 코드를 테스트하려면 `snyk test`를 사용하십시오.

결과:
알려진 취약한 버전의 log4j가 감지되지 않았습니다.

수정 권고

영향을 받는 패키지 수정에 대한 자세한 내용은 Snyk Log4Shell 수정 치트시트를 참조하세요.

제한 사항

Snyk CLI는 파일 서명을 알려진 파일 데이터베이스와 비교합니다. Log4Shell 취약점이 Log4j 라이브러리 업데이트와 다른 방식으로 수정된 경우에도 라이브러리는 결과에 보고됩니다.
Log4j 라이브러리의 소스 코드가 수정된 경우 감지됩니다.

Previous관리되지 않는 모든 JAR 파일 스캔 Next정기적으로 프로젝트 모니터링

Last updated 8 days ago

hashtag소개

hashtag사용법

hashtag실행 방법

hashtag스캔 결과

hashtag수정 권고

hashtag제한 사항

소개

사용법

실행 방법

스캔 결과

수정 권고

제한 사항