망할고양이의 도피처

개요

Logback에서 발생하는 원격코드 실행 취약점 (CVE-2021-42550)[2]
-   공격자가 Logback구성파일인 logback.xml을 조작할 경우, 해당파일을 참조하는 과정에서 삽입된 JNDI*쿼리문을 실행 해 임의의 원격코드를 실행할 수 있는 취약점
※ 공격 전제조건
- Logback구성파일 logback.xml에 대한 쓰기 권한이나 해당파일을 수정/덮어쓰기 가능할 경우
- 수정된 구성파일 logback.xml을 환경에 적용(reload)할 수 있는 권한
 
* JNDI : 디렉토리 서비스에서 제공하는 데이터 및 객체를 발견하고 참고하기 위한 Java API
(Java Naming and Directory Interface의 약어)

영향받는버전

- 1.2.8 이하 모든버전
- 1.3.0-alpha10 이하 모든버전

해결방안

취약점 업데이트 (패치 적용 前 업무시스템의 서비스 영향 검토 후 적용할 것)
-   1.2.8이하 버전의 경우, 최신 버전(1.2.9) 업그레이드 적용 [3]
-   1.3.0-alpha10이하 버전의 경우, 1.3.0-alpha11로 업그레이드 적용[3]
※   1.3.x시리즈의 경우, 기본적으로 JAVA9 모듈화 되어 있으며 slf4j-api 버전 2.0.x 필요
(runtime에는 Java8이상이면 되지만, 소스에서 Logback을 빌드하려면 Java9 필요)

임시 조치방안 (패치 즉시적용 불가할 경우)

1)    구성파일 logback.xml파일의 권한을 read-only로 변경
※ logback.xml 파일 위치 : /src/main/resources/

참고사이트

[1]    https://nvd.nist.gov/vuln/detail/CVE-2021-42550
[2]    http://logback.qos.ch/news.html
[3]    https://repo1.maven.org/maven2/ch/qos/logback/

log4j는 현재 2.16까지 나온걸로 되어 있다.

이번에 난리난 취약점 때문에 일부 회사에서는 1.x 버전대를 사용하고 있어도 

1.x 버전은 2015년 EOS(기술지원종료) 되었기 때문에 최신버전으로 업데이트 하라는 조치사항이 나오기도 하여 

2.16버전이 아닌 2.15버전에 대한 URL을 찾아보았다.

https://downloads.apache.org/logging/log4j/2.15.0/

ES6이다 뭐다... 모든브라우저에서 작성한 코드가 동작을 안하는 경우 난감한 상황이 발생 할 수 있다.

그중에 하나가 javascript 작성시 중복제거 코드를 작성했는데 IE에서 동작하지 않는 경우를 볼 수 있다.

findindex나 화살표함수(ES6) 문법을 사용하는 코드의 경우 문제가 될 수 있다.

아직까지 IE가 사라지지 않았으므로.. jQuery를 이용한 중복제거 함수를 작성해 보았다.

일반적으로 테이블을 생성할 때 아래와 같이 인덱스를 생성하게 된다.

ALTER TABLE [dbo].[REGION_MGMT] ADD  CONSTRAINT [PK_REGION_MGMT] PRIMARY KEY CLUSTERED 
(
	[REGION_CD] ASC,
	[NATION_CD] ASC
)WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, SORT_IN_TEMPDB = OFF, IGNORE_DUP_KEY = OFF, ONLINE = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]
GO

WITH 다음에 오는 ON/OFF가 무슨 뜻인지 알아보도록 한다.

LOB_COMPACTION = { ON | OFF }

LOB(Large Object) 데이터가 포함된 모든 페이지를 압축하도록 지정합니다. 
LOB 데이터 형식은 image, text, ntext, varchar(max), nvarchar(max), varbinary(max) 및 xml입니다. 이 데이터를 압축하면 디스크 공간을 더 효율적으로 사용할 수 있습니다. 기본값은 ON입니다.

• OFF
  큰 개체 데이터가 포함된 페이지가 압축되지 않습니다.
  OFF를 지정해도 힙에는 아무 영향이 없습니다.
  LOB 열이 없는 경우 LOB_COMPACTION 절은 무시됩니다.

PAD_INDEX = { ON | OFF }

인덱스 패딩을 지정합니다. 기본값은 OFF입니다.

• ON
  FILLFACTOR로 지정된 사용 가능한 공간의 비율이 인덱스의 중간 수준 페이지에 적용됩니다. FILLFACTOR를 지정함과 동시에 PAD_INDEX를 ON으로 설정하지 않으면 sys.indexes에 저장된 채우기 비율 값이 사용됩니다.
  
  
• OFF 또는 fillfactor가 지정되지 않았습니다.
  중간 수준 페이지는 용량 한도 가까이 채워집니다. 이로 인해 중간 페이지의 키 집합을 기준으로 인덱스에 포함될 수 있는 최대 크기의 행 하나 이상을 위한 충분한 공간이 남겨집니다.

SORT_IN_TEMPDB = { ON | OFF }

tempdb에 정렬 결과를 저장할지 여부를 지정합니다. 기본값은 OFF입니다.

• ON
  인덱스 작성에 사용된 중간 정렬 결과가 tempdb에 저장됩니다. tempdb가 사용자 데이터베이스와는 다른 디스크 세트에 있으면 인덱스를 만드는 데 필요한 시간이 줄어들 수 있습니다. 그러나 인덱스 작성 중에 사용되는 디스크 공간의 크기는 커집니다.
  
  
• OFF
  중간 정렬 결과가 인덱스와 같은 데이터베이스에 저장됩니다.
  정렬 작업이 필요하지 않거나 메모리에서 정렬을 수행할 수 있으면 SORT_IN_TEMPDB 옵션이 무시됩니다.

IGNORE_DUP_KEY = { ON | OFF }

데이터 입력 시 PK(UNIQUE) 중복 오류가 발생할 경우 정상적인 데이터만 입력할 것인가 전부 롤백 할 것인가에 대한 설정입니다. 기본값은 OFF입니다.

• ON
  중복된 키 값이 고유 인덱스에 삽입되는 경우 경고 메시지가 나타나고 고유성 제약 조건을 위반하는 행만 실패합니다.
  
  
• OFF
  중복된 키 값이 고유 인덱스에 삽입되는 경우 오류 메시지가 나타나고 전체 INSERT 작업이 롤백됩니다.
  뷰, 고유하지 않은 인덱스, XML 인덱스, 공간 인덱스 및 필터링된 인덱스에 생성된 인덱스의 경우 IGNORE_DUP_KEY를 ON으로 설정할 수 없습니다.
  
  IGNORE_DUP_KEY를 보려면 sys.indexes를 사용하십시오.
  
  이전 버전과 호환되는 구문에서 WITH IGNORE_DUP_KEY는 WITH IGNORE_DUP_KEY = ON과 같습니다.

STATISTICS_NORECOMPUTE = { ON | OFF }

배포 통계를 다시 계산할지 여부를 지정합니다.
통계가 자동 생성 되지 않으면 데이터 증가 및 분포에 따라 인덱스의 영향도가 줄어 들 수 있으므로 OFF로 설정하는것이 일반적입니다.  기본값은 OFF입니다.

• ON
  이전 통계가 자동으로 다시 계산되지 않습니다.
• OFF
  자동 통계 업데이트가 설정됩니다.
  자동 통계 업데이트를 복원하려면 STATISTICS_NORECOMPUTE를 OFF로 설정하거나 NORECOMPUTE 절 없이 UPDATE STATISTICS를 실행합니다.
  배포 통계 자동 재계산 기능을 해제하면 쿼리 최적화 프로그램에서 테이블과 관련된 쿼리에 대해 최적의 실행 계획을 선택할 수 없습니다.
  
  

ONLINE = { ON | OFF }

인덱스 작업 중에 쿼리 및 데이터 수정에 기본 테이블과 관련 인덱스를 사용할 수 있는지 여부를 지정합니다. 
기본값은 OFF입니다.

XML 인덱스 또는 공간 인덱스의 경우 ONLINE = OFF만 지원되며 ONLINE을 ON으로 설정하면 오류가 발생합니다.

참고
온라인 인덱스 작업은 SQL Server Enterprise, Developer 및 Evaluation Edition에서만 사용할 수 있습니다.

• ON
  인덱스 작업 중에 장기 테이블 잠금이 유지되지 않습니다. 인덱스 작업의 주 단계 중 내재된 공유(IS) 잠금만 원본 테이블에 유지됩니다. 따라서 기본 테이블 및 인덱스를 계속 쿼리 또는 업데이트할 수 있습니다. 작업이 시작될 때 아주 짧은 기간 동안 S(공유) 잠금이 원본 개체에서 유지됩니다. 작업이 끝날 때 짧은 기간 동안 비클러스터형 인덱스가 생성되는 경우에는 원본에 대해 S(공유) 잠금이 유지되고, 온라인 상태에서 클러스터형 인덱스가 생성 또는 삭제될 때나 클러스터형 또는 비클러스터형 인덱스가 다시 작성될 때는 SCH-M(스키마 수정) 잠금이 획득됩니다. 로컬 임시 테이블에서 인덱스를 생성하는 경우에는 ONLINE을 ON으로 설정할 수 없습니다.
  
  
• OFF
  인덱스 작업 중에 테이블 잠금이 적용됩니다. 클러스터형 인덱스, 공간 인덱스 또는 XML 인덱스를 생성, 다시 작성 또는 삭제하거나 비클러스터형 인덱스를 다시 작성 또는 삭제하는 오프라인 인덱스 작업은 테이블에 대해 SCH-M(스키마 수정) 잠금을 획득합니다. 이 경우 작업 중에 모든 사용자가 기본 테이블에 액세스할 수 없게 됩니다. 비클러스터형 인덱스를 만드는 오프라인 인덱스 작업을 통해 테이블의 S(공유) 잠금을 획득합니다. 따라서 기본 테이블을 업데이트할 수 없지만 SELECT 문과 같은 읽기 작업은 허용됩니다.

ALLOW_ROW_LOCKS = { ON | OFF }

행 잠금의 허용 여부를 지정합니다. 기본값은 ON입니다.

• ON
  인덱스에 액세스할 때 행 잠금이 허용됩니다. 행 잠금을 사용하는 시점은 데이터베이스 엔진이 결정합니다.
  
  
• OFF
  행 잠금이 사용되지 않습니다.
  
  

ALLOW_PAGE_LOCKS = { ON | OFF }

페이지 잠금의 허용 여부를 지정합니다. 기본값은 ON입니다.

• ON
  인덱스에 액세스할 때 페이지 잠금이 허용됩니다. 페이지 잠금을 사용하는 시점은 데이터베이스 엔진이 결정합니다.
  
  
• OFF
  페이지 잠금이 사용되지 않습니다.
  
  

참고
ALLOW_PAGE_LOCKS가 OFF로 설정되면 인덱스를 다시 구성할 수 없습니다.

* SQL Server 2008 이후버전에서 테스트 되었습니다.

기본적으로 사용법은 아래와 같다.

CONVERT( [포맷(길이)], [날짜 값], [변환형식] )

select convert(varchar, getdate(), 120)       -->  2021-01-12 21:23:16
select convert(varchar(10), getdate(), 120)  -->  2021-01-12
select convert(varchar(16), getdate(), 120)  -->  2021-01-12 21:25

그외 변환형식

매번 느끼는 것 이지만.. MS쓰는 쓸때마다 불편하다..

Quartz Scheduler를 사용하면 console log에 아래와 같은 로그가 주기적으로 나타나는 경우가 있다.

[org.quartz.core.QuartzSchedulerThread] batch acquisition of 0 triggers

이 로그가 보기 싫은 경우 logger를 설정하여 해결 할 수 있다.

• org.quartz.core.QuartzSchedulerThread 클래스에 대한 로거를 작성 후 레벨을 error로 설정합니다.
• root의 priority를 value를 debug로 설정합니다.

	<root>
		<priority value="debug" />   <-- 출력 로그 레벨 설정
        ....
        ...
        ..
		<appender-ref ref="console" />
	</root>

Log4j 2 XML Configuration

Xml 파일 위치

XML 파일 (log4j2.xml)을 작성하고, WEB-INF/classes 하위에 포함될 수 있도록 위치시킨다.
Log4j 2가 초기화될 때 자동으로 위 설정 파일을 읽어들인다

Xml 파일 정의 Sample

파일 (log4j.xml)을 작성 시 Log4j 2에서는 최상의 요소가 <Configuration>으로 변경 되었음을 기억해야 합니다.

<Configuration>요소 아래에 Logger, Appender, Layout 설정 등과 관련한 하위 요소를 정의

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE log4j:configuration SYSTEM "log4j.dtd">

<log4j:configuration xmlns:log4j="http://jakarta.apache.org/log4j/">

	<appender name="console" class="org.apache.log4j.ConsoleAppender">
		<param name="Target" value="System.out" />
		<layout class="org.apache.log4j.PatternLayout">
			<param name="ConversionPattern" value="[%-5p: %d] %m [%c]%n" />
		</layout>
	</appender>

	<logger name="jdbc.audit" additivity="false">
		<level value="warn" />
		<appender-ref ref="console" />
	</logger>
	<logger name="jdbc.resultset" additivity="false">
		<level value="warn" />
		<appender-ref ref="console" />
	</logger>
	<logger name="jdbc.resultsettable" additivity="false">
		<level value="info" />
		<appender-ref ref="console" />
	</logger>
	...
    
	<root>
		<priority value="debug" />
		<appender-ref ref="console" />
	</root>
</log4j:configuration>

관련/참고 사이트

http://logging.apache.org/log4j/2.x/manual/configuration.html

http://logging.apache.org/log4j/2.x/manual/configuration.html#XML

Logger의 사용

public class SampleClass extends HandlerInterceptorAdapter {

    protected Logger logger = LoggerFactory.getLogger(SampleClass.class);
    public String sampleMethod(Object obj) throws Exception {
    	logger.debug("logger 내용");
    }

    	

log Level

Log Level에 따라 log의 출력여부를 지정할 수 있다.

Appender 설정

ConsoleAppender : 이클립스 console 같은곳에 로그를 출력하기 위해 사용합니다.

 <Console name="console" target="SYSTEM_OUT">
  <PatternLayout pattern="%d %5p [%c] %m%n" />
 </Console>

FileAppender ; 로그를 파일에 저장할 때 사용합니다.

<File name="file" fileName="./log file path/sample.log" append="false">
  <PatternLayout pattern="%d %5p [%c] %m%n" />
</File>	

log를 File과 Console에 동시에 쌓는 코드

<root>
	<priority value="debug" />
	<appender-ref ref="console" />
</root>

본 작성글은 PL/SQL Developer 11 64bit 버전을 기준으로 작성되었습니다.

해당 패키지 또는 프로시저에 디버깅을 위해 Step Into를 했으나 진입하지 못하고 end; 로 빠져나가는 현상이 있다.

패키지나 프로시저를 우클릭하여 아래 그림과 같이 Add debug information을 체크해 준다.

Start Debug를 클릭하여 Step Into를 누르면 정상적으로 진입이 가능한 것을 확인 할 수 있다.

사용법

1. windows Key + R   "CMD" 입력

2. cmd 창에서 아래와 같이 입력

※ 오라클 서버 또는 오라클 클라이던트가 설치 되어 있는 경우를 가정하여 작성하였습니다.

Clustered Index & Non-Clustered Index 

테이블을 생성 후 Primary Key를 생성하면 기본적으로 Clutered Index로 지정이 됩니다.(클러스터형 인덱스가 없는 경우)

하지만, 데이터를 파악하고 인덱스를 걸면 가장 효율적인 컬럼을 클러스터 인덱스로 지정하는것을 권장합니다.

Clustered Index

• 해당 컬럼을 기준으로 정렬, 테이블당 1개씩만 허용
• Clustered Index가 적용된 컬롬은 CUD 작업이 진행될 경우 데이터의 정렬에 관여합니다. 
• 되도록이면 UNIQUE 해야합니다.  UNIQUE하지 않으면 안되는것이 아니라 UNIQUE하지 않는 경우 오버헤드가 발생하는 것을 인지해야합니다.
• SP_COLUMNS 명령을 이용해서 사용빈도(높음), 데이터길이(짧음), UNIQUE여부(되도록이면) 인 컬럼을 지정합니다.
• 목차를 보고 해당 페이지를 찾아 가는것이 아니라 바로 해당 페이지를 찾아가는 것입니다.

Non-Clustered Index

• 한 테이블에 여러개를 생성 할 수 있습니다. (최대 240개)
• 목차를 보고 해당 페이지를 찾아가는 형태의 검색 방식입니다
• 테이블에 대한 인덱스를 많이 만들면 테이블의 데이터가 변경될 경우 인덱스도 모두 적절하게 조정되어야 하므로 INSERT, UPDATE, DELETE 및 MERGE 문의 성능이 저하될 수 있습니다.
• 쿼리의 조건자 및 조인 조건에서 자주 사용되는 열에 대해 비클러스터형 인덱스를 만듭니다.