Log4j 사태로 대체 정부는 왜 까는 거지?

 

갑자기 Log4j 사태 때문에 관련 업계 쪽에선 폭탄이라도 맞은 분위기인 것 같다.

상당수의 자바 개발자가 사용하는 애드온에 서버의 모든 권한을 가져올 수 있는 오류가 있다니...

 

정부를 비롯해서 관련 기관/업계에선 부랴부랴 난리가 났고, 이번에도 어김없이 가짜뉴스가 판친다.

 

유명한 모 사이트에 올라온 얘긴데, 글쓴이는 사실을 알고 있음

 

해당 오류는 2.x 대에 있는데, 전자정부는 1.2 사용하니까 문제 없다^[각주:1]고??

물론, 답글은 뭐 이런 식이고...

 

전자정부가 정말로 Log4j 1.x를 사용한다고 믿는 청순한 사람들

 

하지만, 이건 조금만 찾아보면 쉽게 진위여부를 확인할 수 있다.

전자정부 표준 프레임워크는 3.1부터 Log4j2.0을 사용하고 있었다.

 

 

그리고, 이 3.x는 '14년~'15년부터 사용되었고.

 

 

세줄 요약

1. 전자정부 프레임워크는 6년 전 503 시절부터 Log4j 2.x 사용

2. 원 글 올린 사람은 이 사실을 알면서 낚시

3. 낚인 사람들은 이거 퍼나르면서 정부 비아냥

 

1. 물론 1.2는 해당 오류가 없을 뿐 다른 취약점이 있음 [본문으로]