БДУ - Уязвимости

BDU:2021-06325: Уязвимость библиотеки журналирования Java-программ Log4j, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость библиотеки журналирования Java-программ Log4j существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально сформированного рекурсивного запроса
Вендор	Сообщество свободного программного обеспечения, Red Hat Inc., АО «Концерн ВНИИНС», NetApp Inc., Apache Software Foundation, ООО «Ред Софт», ФССП России, АО "НППКТ"
Наименование ПО	Debian GNU/Linux, OpenShift Container Platform, Jboss Fuse, JBoss Enterprise Application Platform, OpenShift Application Runtimes, Red Hat Single Sign-On, Red Hat Descision Manager, JBoss A-MQ Streaming, CodeReady Studio, Data Grid, Red Hat Process Automation, Red Hat Integration Camel K, Red Hat Integration Camel Quarkus, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), OpenShift Logging, Cloud Manager, ONTAP Tools for VMware vSphere, Log4j, Snap Creator Framework, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	10.0 (Debian GNU/Linux) 3.11 (OpenShift Container Platform) 7 (Jboss Fuse) 7 (JBoss Enterprise Application Platform) - (OpenShift Application Runtimes) 7 (Red Hat Single Sign-On) 7 (Red Hat Descision Manager) - (JBoss A-MQ Streaming) 4 (OpenShift Container Platform) 12 (CodeReady Studio) 8 (Data Grid) 7 (Red Hat Process Automation) - (Red Hat Integration Camel K) - (Red Hat Integration Camel Quarkus) 1.0 (ОС ОН «Стрелец») 11.0 (Debian GNU/Linux) - (OpenShift Logging) - (Cloud Manager) - (ONTAP Tools for VMware vSphere) до 2.3.1 (Log4j) до 2.12.3 (Log4j) до 2.17.0 (Log4j) - (Snap Creator Framework) 7.3 (РЕД ОС) ИК6 (ОС ТД АИС ФССП России) до 2.4.2 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Сетевое программное средство, ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177) Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6
Тип ошибки	Недостаточная проверка вводимых данных, Неконтролируемая рекурсия
Идентификатор типа ошибки	CWE-20 CWE-674
Класс уязвимости	Уязвимость кода
Дата выявления	18.12.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Log4j: https://logging.apache.org/log4j/2.x/security.html Для Debian GNU/Linux: https://www.debian.org/security/2021/dsa-5024 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2021-45105 Для программных продуктов NetApp Inc.: https://security.netapp.com/advisory/ntap-20211218-0001/ Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОСОН Основа: Обновление программного обеспечения apache-log4j2 до версии 2.17.0+repack-1~deb10u1.osnova1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/CVE-2021-45105 https://logging.apache.org/log4j/2.x/security.html https://redos.red-soft.ru/support/secure/ https://security.netapp.com/advisory/ntap-20211218-0001/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#26012022 https://www.debian.org/security/2021/dsa-5024 https://www.opennet.ru/opennews/art.shtml?num=56370 https://www.zerodayinitiative.com/advisories/ZDI-21-1541/ https://goslinux.fssp.gov.ru/2726972/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.2/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-45105
Прочая информация	Данные уточняются

Последние изменения

03.02.2023 Уязвимость модуля Packet Forwarding Engine (PFE) операционных систем Juniper Networks Junos OS, позволяющая нарушителю вызвать отказ в обслуживании
03.02.2023 Уязвимость микропрограммного обеспечения маршрутизаторов InHand Networks InRouter 302 и InRouter 615, связанная с недостатками разграничения доступа, позволяющая нарушителю выполнить произвольные команды
03.02.2023 Уязвимость веб-сервера микропрограммного обеспечения Ethernet–коммутатора Moxa SDS-3008, позволяющая нарушителю вызвать отказ в обслуживании
03.02.2023 Уязвимость программной платформы Cisco IOx, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю выполнять произвольные команды в операционной системе с привилегиями root-пользователя
03.02.2023 Уязвимость компонента dcpfe операционных систем Juniper Networks Junos, позволяющая нарушителю вызвать отказ в обслуживании
03.02.2023 Уязвимость пакета Airflow MySQL Provider программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
03.02.2023 Уязвимость реализации протокола Link Layer Discovery Protocol (LLDP) микропрограммного обеспечения телефонов для конференц-связи Cisco Webex Room Phone и HDMI-адаптера Cisco Webex Share, связанная с ошибками освобождения памяти, позволяющая нарушителю вызвать отказ в обслуживании
03.02.2023 Уязвимость веб-интерфейса управления микропрограммного обеспечения VPN-маршрутизаторов Cisco Small Business RV160, RV160W, RV260, RV260P и RV260W, связанная с недостаточной очисткой особых элементов в выходных данных, используемых входящим компонентом, позволяющая нарушителю выполнить произвольные команды
03.02.2023 Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Cisco RV340, RV340W, RV345 и RV345P Dual WAN Gigabit VPN, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
03.02.2023 Уязвимость микропрограммного обеспечения маршрутизаторов InHand Networks InRouter 302 и InRouter 615, связанная с использованием незащищенного канала для передачи данных по умолчанию, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольные команды

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»