Bulletin d'alerte Debian

DSA-4686-1 apache-log4j1.2 -- Mise à jour de sécurité

Date du rapport :
16 mai 2020
Paquets concernés :
apache-log4j1.2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 947124.
Dans le dictionnaire CVE du Mitre : CVE-2019-17571.
Plus de précisions :

La classe SocketServer incluse dans apache-log4j1.2, une bibliothèque de journalisation Java, est vulnérable à une désérialisation de données non fiables. Un attaquant peut tirer avantage de ce défaut pour exécuter du code arbitraire dans le contexte de l'application de journalisation en envoyant un événement de journal contrefait pour l'occasion.

Pour la distribution oldstable (Stretch), ce problème a été corrigé dans la version 1.2.17-7+deb9u1.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 1.2.17-8+deb10u1.

Nous vous recommandons de mettre à jour vos paquets apache-log4j1.2.

Pour disposer d'un état détaillé sur la sécurité de apache-log4j1.2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/apache-log4j1.2.