10критическая
BDU:2020-02355 (CVE-2019-17571)
Уязвимость библиотеки журналирования Java-программ Log4j, связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-05-26
Описание
Уязвимость библиотеки журналирования Java-программ Log4j связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Затрагиваемое ПО и версии
WebLogic Server (10.3.6.0)WebLogic Server (12.1.3.0)WebLogic Server (10.3.6.0.0)WebLogic Server (12.1.3.0.0)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE OpenStack Cloud (7)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)Suse Linux Enterprise Server (12 SP4)WebLogic Server (12.2.1.3.0)SUSE Linux Enterprise Module for Basesystem (15)SUSE Linux Enterprise Module for Basesystem (15 SP1)SUSE Enterprise Storage (5)SUSE Linux Enterprise Module for Development Tools (15)SUSE Linux Enterprise Module for Development Tools (15 SP1)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise Point of Sale (11 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP1)SUSE Linux Enterprise Server for SAP Applications (12 SP1-LTSS)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15 SP1)OpenSUSE Leap (15.1)Suse Linux Enterprise Server (11 SP4-LTSS)Suse Linux Enterprise Server (12 SP1-LTSS)Suse Linux Enterprise Server (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (11 SP4-LTSS)
Способ устранения
Обновление библиотеки журналирования Java-программ Log4j до актуальной версии
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-17571/
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html
Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache-log4j1.2 до версии 1.2.17-7+deb9u2
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи