Информация по безопасности / 2020 / Информация о безопасности -- DSA-4686-1 apache-log4j1.2

Рекомендация Debian по безопасности

DSA-4686-1 apache-log4j1.2 -- обновление безопасности

Дата сообщения:

16.05.2020

Затронутые пакеты:

apache-log4j1.2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 947124.
В каталоге Mitre CVE: CVE-2019-17571.

Более подробная информация:

Было обнаружено, что класс SocketServer, включённый в apache-log4j1.2, библиотеку ведения журнала для java, уязвим к десериализации недоверенных данных. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в контексте приложения для ведения журнала путём отправки специально сформированного события журнала.

В предыдущем стабильном выпуске (stretch) эта проблема была исправлена в версии 1.2.17-7+deb9u1.

В стабильном выпуске (buster) эта проблема была исправлена в версии 1.2.17-8+deb10u1.

Рекомендуется обновить пакеты apache-log4j1.2.

С подробным статусом поддержки безопасности apache-log4j1.2 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/apache-log4j1.2