Информация по безопасности / 2021 / Информация о безопасности -- DSA-5024-1 apache-log4j2

Рекомендация Debian по безопасности

DSA-5024-1 apache-log4j2 -- обновление безопасности

Дата сообщения:

18.12.2021

Затронутые пакеты:

apache-log4j2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 1001891.
В каталоге Mitre CVE: CVE-2021-45105.

Более подробная информация:

Было обнаружено, что Apache Log4j2, платформа ведения журнала для Java, не содержит защиты от неконтролируемой рекурсии из запросов к самой себе. Если в настройках журнала используется разметка шаблона не по умолчанию с контекстным поиском (например, $${ctx:loginId}), то злоумышленники, управляющие входными данными карты контекстов потоков (MDC) могут специально формировать входные данные, содержащие рекурсивный запрос, что приводит к отказу в обслуживании.

В предыдущем стабильном выпуске (buster) эта проблема была исправлена в версии 2.17.0-1~deb10u1.

В стабильном выпуске (bullseye) эта проблема была исправлена в версии 2.17.0-1~deb11u1.

Рекомендуется обновить пакеты apache-log4j2.

С подробным статусом поддержки безопасности apache-log4j2 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/apache-log4j2