LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2065-1 apache-log4j1.2

Bulletin d'alerte Debian

DLA-2065-1 apache-log4j1.2 -- Mise à jour de sécurité pour LTS

Date du rapport :

12 janvier 2020

Paquets concernés :

apache-log4j1.2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 947124.
Dans le dictionnaire CVE du Mitre : CVE-2019-17571.

Plus de précisions :

Est incluse dans Log4j 1.2, une bibliothèque de journalisation pour Java, une classe SocketServer qui est vulnérable à une désérialisation de données non fiables pouvant être exploitée pour exécuter à distance du code arbitraire si combinée avec un gadget de désérialisation lors d’écoute de trafic réseau non fiable pour des données de journal.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.2.17-5+deb8u1.

Nous vous recommandons de mettre à jour vos paquets apache-log4j1.2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.