Рекомендация Debian по безопасности
DSA-5024-1 apache-log4j2 -- обновление безопасности
- Дата сообщения:
- 18.12.2021
- Затронутые пакеты:
- apache-log4j2
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 1001891.
В каталоге Mitre CVE: CVE-2021-45105. - Более подробная информация:
-
Было обнаружено, что Apache Log4j2, платформа ведения журнала для Java, не содержит защиты от неконтролируемой рекурсии из запросов к самой себе. Если в настройках журнала используется разметка шаблона не по умолчанию с контекстным поиском (например, $${ctx:loginId}), то злоумышленники, управляющие входными данными карты контекстов потоков (MDC) могут специально формировать входные данные, содержащие рекурсивный запрос, что приводит к отказу в обслуживании.
В предыдущем стабильном выпуске (buster) эта проблема была исправлена в версии 2.17.0-1~deb10u1.
В стабильном выпуске (bullseye) эта проблема была исправлена в версии 2.17.0-1~deb11u1.
Рекомендуется обновить пакеты apache-log4j2.
С подробным статусом поддержки безопасности apache-log4j2 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/apache-log4j2