Aviso de seguridad de Debian

DSA-4686-1 apache-log4j1.2 -- actualización de seguridad

Fecha del informe:
16 de may de 2020
Paquetes afectados:
apache-log4j1.2
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 947124.
En el diccionario CVE de Mitre: CVE-2019-17571.
Información adicional:

Se descubrió que la clase SocketServer incluida en apache-log4j1.2, una biblioteca de escritura de logs para java, es vulnerable a reconstrucción de datos serializados no confiables. Un atacante puede aprovechar este defecto para ejecutar código arbitrario en el contexto de la aplicación de escritura en el log, mediante el envío de un evento de log preparado de una manera determinada.

Para la distribución «antigua estable» (stretch), este problema se ha corregido en la versión 1.2.17-7+deb9u1.

Para la distribución «estable» (buster), este problema se ha corregido en la versión 1.2.17-8+deb10u1.

Le recomendamos que actualice los paquetes de apache-log4j1.2.

Para información detallada sobre el estado de seguridad de apache-log4j1.2, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/apache-log4j1.2