LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2022 / Informations sur la sécurité -- DLA-2905-1 apache-log4j1.2

Bulletin d'alerte Debian

DLA-2905-1 apache-log4j1.2 -- Mise à jour de sécurité pour LTS

Date du rapport :

31 janvier 2022

Paquets concernés :

apache-log4j1.2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1004482.
Dans le dictionnaire CVE du Mitre : CVE-2021-4104, CVE-2022-23302, CVE-2022-23305, CVE-2022-23307.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans Log4j 1.2 d'Apache, une infrastructure de journalisation pour Java, quand il est configuré pour utiliser JMSSink, JDBCAppender, JMSAppender ou Apache Chainsaw. Elles pourraient être exploitées pour une exécution de code distant.

Notez qu'un attaquant potentiel doit avoir accès en écriture à la configuration de Log4j et que les fonctionnalités susmentionnées ne sont pas activées par défaut. Pour atténuer complètement ce type de vulnérabilité, les classes associées ont été supprimées du fichier jar résultant.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.2.17-7+deb9u2.

Nous vous recommandons de mettre à jour vos paquets apache-log4j1.2.

Pour disposer d'un état détaillé sur la sécurité de apache-log4j1.2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/apache-log4j1.2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.