Рекомендация Debian по безопасности

DSA-5020-1 apache-log4j2 -- обновление безопасности

Дата сообщения:
11.12.2021
Затронутые пакеты:
apache-log4j2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 959450, Ошибка 1001478.
В каталоге Mitre CVE: CVE-2021-44228, CVE-2020-9488.
Более подробная информация:

Чэнь Чжаоцзюнь из Alibaba Cloud Security Team обнаружил критическую уязвимость в Apache Log4j, популярной платформе ведения журнала для Java. Возможности JNDI используемые в настройке, сообщениях журнала и параметрах не имеют защиты против злоумышленника, управляющего LDAP и другими связанными с JNDI конечными точками. Злоумышленник, контролирующий сообщения журнала или параметры сообщений журнала может выполнить произвольный код, загруженный с LDAP-серверов, если включена возможность подстановки в поиске сообщений. В версии 2.15.0 это поведение по умолчанию выключено.

Данное обновление также исправляет CVE-2020-9488 в предыдущем стабильном выпуске (buster). Уязвимость представляет собой неправильную проверку сертификата с несовпадающим именем узла в аппендере Apache Log4j SMTP. Она позволяет перехватывать SMTPS-соединение при помощи атаки по принципу человек-в-середине, что может приводить к утечке сообщений журнала, отправленных через аппендер.

В предыдущем стабильном выпуске (buster) эта проблема была исправлена в версии 2.15.0-1~deb10u1.

В стабильном выпуске (bullseye) эта проблема была исправлена в версии 2.15.0-1~deb11u1.

Рекомендуется обновить пакеты apache-log4j2.

С подробным статусом поддержки безопасности apache-log4j2 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/apache-log4j2