BDU:2021-06204: Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2 связана с ошибками при десериализации данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор Сообщество свободного программного обеспечения, Red Hat Inc., Novell Inc., Apache Software Foundation, ООО «Ред Софт», ФССП России, АО "НППКТ"
Наименование ПО Debian GNU/Linux, OpenShift Container Platform, Jboss Fuse, JBoss Enterprise Application Platform, OpenShift Application Runtimes, JBoss A-MQ Streaming, openSUSE Tumbleweed, Data Grid, Red Hat Process Automation, Red Hat Integration Camel K, OpenSUSE Leap, Red Hat Integration Camel Quarkus, OpenShift Logging, Log4j, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 9.0 (Debian GNU/Linux)
  • 10.0 (Debian GNU/Linux)
  • 3.11 (OpenShift Container Platform)
  • 7 (Jboss Fuse)
  • 7 (JBoss Enterprise Application Platform)
  • - (OpenShift Application Runtimes)
  • - (JBoss A-MQ Streaming)
  • - (openSUSE Tumbleweed)
  • 8 (Data Grid)
  • 7 (Red Hat Process Automation)
  • 4.6 (OpenShift Container Platform)
  • 4.7 (OpenShift Container Platform)
  • - (Red Hat Integration Camel K)
  • 15.3 (OpenSUSE Leap)
  • - (Red Hat Integration Camel Quarkus)
  • 11.0 (Debian GNU/Linux)
  • 4.8 (OpenShift Container Platform)
  • 5.0 (OpenShift Logging)
  • 5.1 (OpenShift Logging)
  • 5.2 (OpenShift Logging)
  • 5.3 (OpenShift Logging)
  • от 2.0.1 до 2.12.2 (Log4j)
  • от 2.13.0 до 2.16.0 (Log4j)
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • до 2.4.2 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Novell Inc. OpenSUSE Leap 15.3
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11.0
  • ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
  • ФССП России ОС ТД АИС ФССП России ИК6
Тип ошибки Восстановление в памяти недостоверных данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 14.12.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Apache Log4j2:
https://logging.apache.org/log4j/2.x/security.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-45046

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-45046

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-45046.html


Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН Основа:
Обновление программного обеспечения apache-log4j2 до версии 2.17.0+repack-1~deb10u1.osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данная уязвимость существует из-за неполного исправления уязвимости CVE-2021-44228
Последние изменения