Рекомендация Debian по безопасности

DSA-5022-1 apache-log4j2 -- обновление безопасности

Дата сообщения:
16.12.2021
Затронутые пакеты:
apache-log4j2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 1001729.
В каталоге Mitre CVE: CVE-2021-45046.
Более подробная информация:

Было обнаружено, что исправление уязвимости CVE-2021-44228 в Apache Log4j, платформе ведения журнала для Java, неполно для некоторых настроек, отличающихся от настроек по умолчанию. Это может позволить злоумышленникам, управляющим входными данными карты контекстов потоков (MDC), если в настройках ведения журнала используется разметка шаблона не по умолчанию либо с поиском контекста (например, $${ctx:loginId}), либо шаблон карты контекстов потоков (%X, %mdc или %MDC), формировать вредоносные входные данные, используя шаблон поиска JNDI, приводящие к отказу в обслуживании (DOS).

В предыдущем стабильном выпуске (buster) эта проблема была исправлена в версии 2.16.0-1~deb10u1.

В стабильном выпуске (bullseye) эта проблема была исправлена в версии 2.16.0-1~deb11u1.

Рекомендуется обновить пакеты apache-log4j2.

С подробным статусом поддержки безопасности apache-log4j2 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/apache-log4j2