ГлавнаяБаза уязвимостей БДУ → BDU:2020-03624
4.3средняя

BDU:2020-03624

Уязвимость реализации класса SmtpAppender библиотеки журналирования Java-программ Log4j, позволяющая нарушителю реализовать атаку типа «человек посередине»
Опубликовано: 2020-07-31
Описание

Уязвимость реализации класса SmtpAppender библиотеки журналирования Java-программ Log4j связана с неправильным подтверждением подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку типа «человек посередине»

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)WebLogic Server (10.3.6.0.0)WebLogic Server (12.1.3.0.0)Enterprise Repository (11.1.1.7.0)Fusion Middleware MapViewer (12.2.1.3.0)Primavera Unifier (16.2)Primavera Unifier (16.1)PeopleSoft Enterprise PeopleTools (8.56)PeopleSoft Enterprise PeopleTools (8.57)WebLogic Server (12.2.1.3.0)Oracle Retail Customer Management and Segmentation Foundation (16.0)Oracle Retail Customer Management and Segmentation Foundation (17.0)Oracle Retail Customer Management and Segmentation Foundation (18.0)Oracle Retail Order Broker (15.0)Oracle Retail Order Broker (16.0)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)Agile Engineering Data Management (6.2.1)Red Hat Enterprise Linux (8)Oracle Data Integrator (12.2.1.3.0)Jboss Fuse (7)Utilities Framework (4.4.0.0.0)Utilities Framework (4.2.0.3.0)Utilities Framework (4.2.0.2.0)Application Testing Suite (13.3.0.1)Primavera Unifier (18.8)OpenShift Application Runtimes (1.0)Oracle Policy Automation Connector for Siebel (10.4.6)JBoss Data Grid (7)
Способ устранения

Использование рекомендаций:
Для Log4j:
https://issues.apache.org/jira/browse/LOG4J2-2819

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-9488

Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache-log4j2 до версии 2.12.4-0+deb9u1

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
https://issues.apache.org/jira/browse/LOG4J2-2819https://lists.apache.org/thread.html/r0a2699f724156a558afd1abb6c044fb9132caa66dce861b82699722a@%3Cjira.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/r0df3d7a5acb98c57e64ab9266aa21eeee1d9b399addb96f9cf1cbe05@%3Cdev.zookeeper.apache.org%3Ehttps://lists.apache.org/thread.html/r2f209d271349bafd91537a558a279c08ebcff8fa3e547357d58833e6@%3Cdev.zookeeper.apache.org%3Ehttps://lists.apache.org/thread.html/r393943de452406f0f6f4b3def9f8d3c071f96323c1f6ed1a098f7fe4@%3Ctorque-dev.db.apache.org%3Ehttps://lists.apache.org/thread.html/r4285398e5585a0456d3d9db021a4fce6e6fcf3ec027dfa13a450ec98@%3Cissues.zookeeper.apache.org%3Ehttps://lists.apache.org/thread.html/r48bcd06049c1779ef709564544c3d8a32ae6ee5c3b7281a606ac4463@%3Cjira.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/r48efc7cb5aeb4e1f67aaa06fb4b5479a5635d12f07d0b93fc2d08809@%3Ccommits.zookeeper.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена