Debians sikkerhedsbulletin

DSA-4686-1 apache-log4j1.2 -- sikkerhedsopdatering

Rapporteret den:
16. maj 2020
Berørte pakker:
apache-log4j1.2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 947124.
I Mitres CVE-ordbog: CVE-2019-17571.
Yderligere oplysninger:

Man opdagede at klassen SocketServer, der følger med apache-log4j1.2, et logningsbibliotek til java, var sårbar i forbindelse med deserialisering af data der ikke er tillid til. En angriber kunne drage nytte af fejlen til at udføre vilkårlig kode i loggerapplikationens kontekst, ved at sende en særligt fremstillet logevent.

I den gamle stabile distribution (stretch), er dette problem rettet i version 1.2.17-7+deb9u1.

I den stabile distribution (buster), er dette problem rettet i version 1.2.17-8+deb10u1.

Vi anbefaler at du opgraderer dine apache-log4j1.2-pakker.

For detaljeret sikkerhedsstatus vedrørende apache-log4j1.2, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/apache-log4j1.2