Bulletin d'alerte Debian

DSA-5020-1 apache-log4j2 -- Mise à jour de sécurité

Date du rapport :

11 décembre 2021

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 959450, Bogue 1001478.
Dans le dictionnaire CVE du Mitre : CVE-2021-44228, CVE-2020-9488.

Plus de précisions :

Chen Zhaojun de l'équipe Alibaba Cloud Security a découvert une vulnérabilité de sécurité critique dans Log4j d'Apache, une infrastructure de journalisation répandue pour Java. La fonction JNDI, utilisée dans la configuration, les messages de journal et les paramètres, ne protégeait pas d'un LDAP et d'autres points de terminaison liés à JNDI contrôlés par un attaquant. Un attaquant qui peut contrôler les messages ou les paramètres de messages de journal, peut exécuter du code arbitraire chargé à partir de serveurs LDAP quand la recherche/substitution de messages est active. Ce comportement a été désactivé par défaut à partir de la version 2.15.0.

Cette mise à jour corrige également le CVE-2020-9488 dans la distribution oldstable (Buster). Une validation incorrecte de certificat avec erreur d'hôte dans le flux (« appender ») SMTP de log4j d'Apache. Cela pourrait permettre l'interception d'une connexion SMTPS par une attaque de type homme du milieu qui pourrait aboutir à une divulgation de n'importe quel message de journal envoyé au moyen de cet « appender ».

Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 2.15.0-1~deb10u1.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2.15.0-1~deb11u1.

Nous vous recommandons de mettre à jour vos paquets apache-log4j2.

Pour disposer d'un état détaillé sur la sécurité de apache-log4j2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/apache-log4j2.