Рекомендация Debian по безопасности

DSA-5024-1 apache-log4j2 -- обновление безопасности

Дата сообщения:
18.12.2021
Затронутые пакеты:
apache-log4j2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 1001891.
В каталоге Mitre CVE: CVE-2021-45105.
Более подробная информация:

Было обнаружено, что Apache Log4j2, платформа ведения журнала для Java, не содержит защиты от неконтролируемой рекурсии из запросов к самой себе. Если в настройках журнала используется разметка шаблона не по умолчанию с контекстным поиском (например, $${ctx:loginId}), то злоумышленники, управляющие входными данными карты контекстов потоков (MDC) могут специально формировать входные данные, содержащие рекурсивный запрос, что приводит к отказу в обслуживании.

В предыдущем стабильном выпуске (buster) эта проблема была исправлена в версии 2.17.0-1~deb10u1.

В стабильном выпуске (bullseye) эта проблема была исправлена в версии 2.17.0-1~deb11u1.

Рекомендуется обновить пакеты apache-log4j2.

С подробным статусом поддержки безопасности apache-log4j2 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/apache-log4j2