ГлавнаяБаза уязвимостей БДУ → BDU:2021-06325
7.8высокая

BDU:2021-06325 (CVE-2021-45105)

Уязвимость библиотеки журналирования Java-программ Log4j, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2021-12-23
Описание

Уязвимость библиотеки журналирования Java-программ Log4j существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально сформированного рекурсивного запроса

Затрагиваемое ПО и версии
OpenShift Container Platform (3.11)Jboss Fuse (7)Debian GNU/Linux (10)JBoss Enterprise Application Platform (7)OpenShift Application RuntimesRed Hat Single Sign-On (7)Red Hat Descision Manager (7)JBoss A-MQ StreamingOpenShift Container Platform (4)CodeReady Studio (12)Data Grid (8)Red Hat Process Automation (7)Red Hat Integration Camel KRed Hat Integration Camel QuarkusОС ОН «Стрелец» (1.0)Debian GNU/Linux (11)OpenShift LoggingCloud ManagerONTAP Tools for VMware vSphereLog4j (до 2.3.1)Log4j (до 2.12.3)Log4j (до 2.17.0)Snap Creator FrameworkРЕД ОС (7.3)ОС ТД АИС ФССП России (ИК6)ОСОН ОСнова Оnyx (до 2.4.2)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Log4j:
https://logging.apache.org/log4j/2.x/security.html

Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-5024

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-45105

Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20211218-0001/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ОН «Стрелец»:

https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН Основа:
Обновление программного обеспечения apache-log4j2 до версии 2.17.0+repack-1~deb10u1.osnova1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache-log4j2 до версии 2.12.4-0+deb9u1

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2021-45105https://logging.apache.org/log4j/2.x/security.htmlhttps://redos.red-soft.ru/support/secure/https://security.netapp.com/advisory/ntap-20211218-0001/https://strelets.net/patchi-i-obnovleniya-bezopasnosti#26012022https://www.debian.org/security/2021/dsa-5024https://www.opennet.ru/opennews/art.shtml?num=56370https://www.zerodayinitiative.com/advisories/ZDI-21-1541/
Проверьте безопасность своего сайта и почты → Полная проверка домена