Рекомендация Debian по безопасности

DSA-4686-1 apache-log4j1.2 -- обновление безопасности

Дата сообщения:
16.05.2020
Затронутые пакеты:
apache-log4j1.2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 947124.
В каталоге Mitre CVE: CVE-2019-17571.
Более подробная информация:

Было обнаружено, что класс SocketServer, включённый в apache-log4j1.2, библиотеку ведения журнала для java, уязвим к десериализации недоверенных данных. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в контексте приложения для ведения журнала путём отправки специально сформированного события журнала.

В предыдущем стабильном выпуске (stretch) эта проблема была исправлена в версии 1.2.17-7+deb9u1.

В стабильном выпуске (buster) эта проблема была исправлена в версии 1.2.17-8+deb10u1.

Рекомендуется обновить пакеты apache-log4j1.2.

С подробным статусом поддержки безопасности apache-log4j1.2 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/apache-log4j1.2