BDU:2020-03624: Уязвимость реализации класса SmtpAppender библиотеки журналирования Java-программ Log4j, позволяющая нарушителю реализовать атаку типа «человек посередине»

Описание уязвимости Уязвимость реализации класса SmtpAppender библиотеки журналирования Java-программ Log4j связана с неправильным подтверждением подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку типа «человек посередине»
Вендор Red Hat Inc., Oracle Corp., Apache Software Foundation
Наименование ПО Red Hat Enterprise Linux, WebLogic Server, Enterprise Repository, Fusion Middleware MapViewer, Primavera Unifier, Instantis EnterpriseTrack, Jboss Fuse, Application Testing Suite, OpenShift Application Runtimes, JBoss Data Grid, Red Hat Single Sign-On, Red Hat Process Automation Manager, Red Hat Descision Manager, Oracle Retail Assortment Planning, JBoss A-MQ Streaming, Oracle Communications Interactive Session Recorder, Oracle Endeca Information Discovery Studio, Oracle Retail Predictive Application Server, Primavera Gateway, Oracle Retail Financial Integration, Oracle Retail Service Backbone, Rapid Planning, Enterprise Manager Ops Center, Communications MetaSolv Solution, Oracle Communications Order and Service Management, Financial Services Analytical Applications Infrastructure, Oracle FLEXCUBE Investor Servicing, Oracle FLEXCUBE Private Banking, Oracle Banking Enterprise Collections, Category Management Planning & Optimization, Oracle Retail Bulk Data Integration, Oracle Retail Data Extractor for Merchandising, Oracle Retail Item Planning, Oracle Retail Macro Space Optimization, Oracle Retail Merchandise Financial Planning, Oracle Retail Regular Price Optimization, Oracle Retail Replenishment Optimization, Oracle Retail Size Profile Optimization, Retail Store Inventory Management, Communications Instant Messaging Server, Communications Network Charging and Control, Siebel Engineering - Installer & Deployment, Log4j, A-MQ Clients, JD Edwards EnterpriseOne Tools, Oracle Communications Network Integrity, Oracle Financial Services Lending and Leasing, Banking Platform, Oracle Insurance Data Gateway, Oracle Retail Extract Transform and Load, Data Grid
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 10.3.6.0.0 (WebLogic Server)
  • 12.1.3.0.0 (WebLogic Server)
  • 11.1.1.7.0 (Enterprise Repository)
  • 12.2.1.3.0 (Fusion Middleware MapViewer)
  • 16.2 (Primavera Unifier)
  • 16.1 (Primavera Unifier)
  • 12.2.1.3.0 (WebLogic Server)
  • 17.1 (Instantis EnterpriseTrack)
  • 17.2 (Instantis EnterpriseTrack)
  • 17.3 (Instantis EnterpriseTrack)
  • 8 (Red Hat Enterprise Linux)
  • 7 (Jboss Fuse)
  • 13.3.0.1 (Application Testing Suite)
  • 18.8 (Primavera Unifier)
  • 1.0 (OpenShift Application Runtimes)
  • 7 (JBoss Data Grid)
  • 7 (Red Hat Single Sign-On)
  • 7 (Red Hat Process Automation Manager)
  • 12.2.1.4.0 (WebLogic Server)
  • 7 (Red Hat Descision Manager)
  • 16.0.3 (Oracle Retail Assortment Planning)
  • - (JBoss A-MQ Streaming)
  • 19.12 (Primavera Unifier)
  • от 17.7 до 17.12 включительно (Primavera Unifier)
  • 6.1 (Oracle Communications Interactive Session Recorder)
  • 6.2 (Oracle Communications Interactive Session Recorder)
  • 6.3 (Oracle Communications Interactive Session Recorder)
  • 3.2.0 (Oracle Endeca Information Discovery Studio)
  • 15.0.3 (Oracle Retail Predictive Application Server)
  • 16.0.3 (Oracle Retail Predictive Application Server)
  • 15.0.3 (Oracle Retail Assortment Planning)
  • от 16.2.0 до 16.2.11 включительно (Primavera Gateway)
  • 15.0 (Oracle Retail Financial Integration)
  • 16.0 (Oracle Retail Financial Integration)
  • 14.0.3 (Oracle Retail Predictive Application Server)
  • 14.1.3 (Oracle Retail Predictive Application Server)
  • 15.0 (Oracle Retail Service Backbone)
  • 16.0 (Oracle Retail Service Backbone)
  • 12.1 (Rapid Planning)
  • 12.2 (Rapid Planning)
  • 14.1.1.0.0 (WebLogic Server)
  • 12.4.0.0 (Enterprise Manager Ops Center)
  • 6.3.0 (Communications MetaSolv Solution)
  • 7.3 (Oracle Communications Order and Service Management)
  • 7.4 (Oracle Communications Order and Service Management)
  • от 8.0.6 до 8.1.0 включительно (Financial Services Analytical Applications Infrastructure)
  • 12.1.0 (Oracle FLEXCUBE Investor Servicing)
  • 12.3.0 (Oracle FLEXCUBE Investor Servicing)
  • 12.4.0 (Oracle FLEXCUBE Investor Servicing)
  • 14.0.0 (Oracle FLEXCUBE Investor Servicing)
  • 14.1.0 (Oracle FLEXCUBE Investor Servicing)
  • 12.0.0 (Oracle FLEXCUBE Private Banking)
  • 12.1.0 (Oracle FLEXCUBE Private Banking)
  • от 2.7.0 до 2.9.0 включительно (Oracle Banking Enterprise Collections)
  • 15.0.3 (Category Management Planning & Optimization)
  • 15.0 (Oracle Retail Bulk Data Integration)
  • 16.0 (Oracle Retail Bulk Data Integration)
  • 1.9 (Oracle Retail Data Extractor for Merchandising)
  • 1.10 (Oracle Retail Data Extractor for Merchandising)
  • 15.0.3 (Oracle Retail Item Planning)
  • 15.0.3 (Oracle Retail Macro Space Optimization)
  • 15.0.3 (Oracle Retail Merchandise Financial Planning)
  • 15.0.3 (Oracle Retail Regular Price Optimization)
  • 16.0.3 (Oracle Retail Regular Price Optimization)
  • 15.0.3 (Oracle Retail Replenishment Optimization)
  • 15.0.3 (Oracle Retail Size Profile Optimization)
  • 14.0.4 (Retail Store Inventory Management)
  • 14.1.3 (Retail Store Inventory Management)
  • 15.0.3 (Retail Store Inventory Management)
  • 16.0.3 (Retail Store Inventory Management)
  • 10.0.1.4.0 (Communications Instant Messaging Server)
  • от 17.12.0 до 17.12.7 включительно (Primavera Gateway)
  • от 18.8.0 до 18.8.9 включительно (Primavera Gateway)
  • от 19.12.0 до 19.12.4 включительно (Primavera Gateway)
  • 6.0.1 (Communications Network Charging and Control)
  • от 12.0.0 до 12.0.3 включительно (Communications Network Charging and Control)
  • до 2.20.5 включительно (Siebel Engineering - Installer & Deployment)
  • до 2.13.2 (Log4j)
  • 6.4 (Oracle Communications Interactive Session Recorder)
  • 2 (A-MQ Clients)
  • до 9.2.3.3 (JD Edwards EnterpriseOne Tools)
  • от 7.3.2 до 7.3.6включительно (Oracle Communications Network Integrity)
  • 12.5.0 (Oracle Financial Services Lending and Leasing)
  • от 14.1.0 до 14.8.0 включительно (Oracle Financial Services Lending and Leasing)
  • 12.2.1.4.0 (Fusion Middleware MapViewer)
  • 2.4.0-2.10.0 (Banking Platform)
  • 1.0 (Oracle Insurance Data Gateway)
  • 18.0 (Oracle Retail Data Extractor for Merchandising)
  • 19.0 (Oracle Retail Extract Transform and Load)
  • 14.1 (Oracle Retail Service Backbone)
  • 8 (Data Grid)
Тип ПО Операционная система, Сетевое программное средство, Прикладное ПО информационных систем, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Red Hat Inc. Red Hat Enterprise Linux 8
Тип ошибки Неправильное подтверждение подлинности сертификата, Отсутствие проверки хостовых данных сертификата
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 13.04.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Log4j:
https://issues.apache.org/jira/browse/LOG4J2-2819

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-9488
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение авторизации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
https://issues.apache.org/jira/browse/LOG4J2-2819
https://lists.apache.org/thread.html/r0a2699f724156a558afd1abb6c044fb9132caa66dce861b82699722a@%3Cjira.kafka.apache.org%3E
https://lists.apache.org/thread.html/r0df3d7a5acb98c57e64ab9266aa21eeee1d9b399addb96f9cf1cbe05@%3Cdev.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/r2f209d271349bafd91537a558a279c08ebcff8fa3e547357d58833e6@%3Cdev.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/r393943de452406f0f6f4b3def9f8d3c071f96323c1f6ed1a098f7fe4@%3Ctorque-dev.db.apache.org%3E
https://lists.apache.org/thread.html/r4285398e5585a0456d3d9db021a4fce6e6fcf3ec027dfa13a450ec98@%3Cissues.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/r48bcd06049c1779ef709564544c3d8a32ae6ee5c3b7281a606ac4463@%3Cjira.kafka.apache.org%3E
https://lists.apache.org/thread.html/r48efc7cb5aeb4e1f67aaa06fb4b5479a5635d12f07d0b93fc2d08809@%3Ccommits.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/r7641ee788e1eb1be4bb206a7d15f8a64ec6ef23e5ec6132d5a567695@%3Cnotifications.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/r7e5c10534ed06bf805473ac85e8412fe3908a8fa4cabf5027bf11220@%3Cdev.kafka.apache.org%3E
https://lists.apache.org/thread.html/r7e739f2961753af95e2a3a637828fb88bfca68e5d6b0221d483a9ee5@%3Cnotifications.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/r8c001b9a95c0bbec06f4457721edd94935a55932e64b82cc5582b846@%3Cissues.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/r8e96c340004b7898cad3204ea51280ef6e4b553a684e1452bf1b18b1@%3Cjira.kafka.apache.org%3E
https://lists.apache.org/thread.html/r9a79175c393d14d760a0ae3731b4a873230a16ef321aa9ca48a810cd@%3Cissues.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/rbc45eb0f53fd6242af3e666c2189464f848a851d408289840cecc6e3@%3Ccommits.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/rc6b81c013618d1de1b5d6b8c1088aaf87b4bacc10c2371f15a566701@%3Cnotifications.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/rd55f65c6822ff235eda435d31488cfbb9aa7055cdf47481ebee777cc@%3Cissues.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/rd8e87c4d69df335d0ba7d815b63be8bd8a6352f429765c52eb07ddac@%3Cissues.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/rec34b1cccf907898e7cb36051ffac3ccf1ea89d0b261a2a3b3fb267f@%3Ccommits.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/rf1c2a81a08034c688b8f15cf58a4cfab322d00002ca46d20133bee20@%3Cdev.kafka.apache.org%3E
https://security.netapp.com/advisory/ntap-20200504-0003/
https://www.oracle.com/security-alerts/cpujul2020.html
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения