Bulletin d'alerte Debian

DSA-5022-1 apache-log4j2 -- Mise à jour de sécurité

Date du rapport :
16 décembre 2021
Paquets concernés :
apache-log4j2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 1001729.
Dans le dictionnaire CVE du Mitre : CVE-2021-45046.
Plus de précisions :

Il a été découvert que le correctif pour traiter le CVE-2021-44228 dans Apache Log4j, une infrastructure de journalisation pour Java, était incomplet dans certaines configurations autres que celle par défaut. Cela pourrait permettre à des attaquants ayant le contrôle sur des données d'entrée de carte de contextes de thread (MDC), quand la configuration de journalisation utilise un motif autre que celui par défaut avec soit une recherche de contexte (par exemple, $${ctx:loginId}) ou un motif de carte de contextes de thread (%X, %mdc, ou %MDC) de contrefaire des données d'entrée en utilisant un patron de recherche de JNDI avec pour conséquence une attaque par déni de service (DOS).

Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 2.16.0-1~deb10u1.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2.16.0-1~deb11u1.

Nous vous recommandons de mettre à jour vos paquets apache-log4j2.

Pour disposer d'un état détaillé sur la sécurité de apache-log4j2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/apache-log4j2.