금번 발생된 log4j 보안 취약점 이슈와 관련하여 다음과 같이 공지드립니다.

log4j 사용시 원격코드 실행 관련 보안 취약점이 식별되었습니다.

코드 검사 결과 해당 보안 취약점이 발생할 수 있는 코드는 TunA 에서는 사용하고 있지 않지만,

향후 발생할 수 있는 이슈가 존재할 수 있기 때문에 패치를 진행하고자 합니다.

TunA 솔루션은 다음과 같이 log4j를 사용하고 있습니다.

• log4j jar 는 패치가 계속 되고 있습니다. 공지 시점 기준 최신 버전은 2.17.1 이며, 패치를 적용하면 최신 버전이 적용됩니다.

패치방법은 Shell을 통한 자동패치 방법과 수동패치 방법이 있습니다.

1. 자동 패치 방법

주의사항

• TunA 설치파일의 Owner 유저로 접속하여 실행해야합니다.
• TunA가 설치된 디렉토리에서 실행해야 합니다.

TunA 서비스 종료

1. TunA 웹서버 종료
$ cd ${tuna_install_path}
$ cd webapp
$ ./stop.sh
2. TunA 수집서버 종료
$ cd ${tuna_install_path}
$ cd server
$ ./stop.sh
3. ElasticSearch 종료
$ cd ${tuna_install_path}
$ cd elasticsearch_7.x.x
$ ./stop.sh

패치 실행

1. TunA 설치 폴더로 이동
$ cd ${tuna_install_path} 
2. 패치 파일 다운로드 
$ wget https://tuna-public.s3.ap-northeast-2.amazonaws.com/10.+Release+Version/2022.01.03_patch/patch_20220103.tar.gz
3. 패치 파일 압축해제
$ tar -xvzf ./patch_20220103.tar.gz
4. 패치 파일 폴더로 이동
$ cd patch_20220103
5. 패치 실행
$ ./patch.sh

TunA 서비스 기동

1. ElasticSearch 기동
$ cd ${tuna_install_path}
$ cd elasticsearch_7.x.x
$ ./start.sh
2. TunA 수집서버 기동
$ cd ${tuna_install_path}
$ cd server
$ ./startup.sh
3. TunA 웹서버 기동
$ cd ${tuna_install_path}
$ cd webapp
$ ./start.sh

• 위 2번단계에서 wget 실행이 어려운 환경에서는 수동으로 아래의 경로에서 패치 파일을 다운로드하여 TunA 설치 폴더에 업로드 합니다.
• https://tuna-public.s3.ap-northeast-2.amazonaws.com/10.+Release+Version/2022.01.03_patch/patch_20220103.tar.gz

2. 수동 패치 방법

현재 사용중인 버전 확인 방법

• TunA 화면이 CS인 경우 : 해당 없음
• {TunA Installed Directory}/server/lib/tuna-scouter-common-{version}.jar
• version이 없거나 2.6.x 미만인 경우 : ~v2.5.6 가이드 참고
• version이 2.6.x 이상인 경우 : v2.6.0 가이드 참고

수동 패치 방법에 대해서는 다음 내용을 확인하시기 바랍니다.

• 원격지원도구 접속 가능여부 확인방법 (http://988.co.kr 접속 및 확인, 로컬/클라우드 무관)
• TunA를 윈도우즈 서버에서 사용하시는 경우 별도로 연락주시기 바랍니다.
• 관련 문의 : 시스템솔루션사업팀 김경남 책임 (010-2208-3006, tuna-support@lgcns.com)