ГлавнаяБаза уязвимостей БДУ → BDU:2022-00031
7.6высокая

BDU:2022-00031 (CVE-2021-4104)

Уязвимость реализации класса JMSAppender библиотеки журналирования Java-программ Log4j, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-01-04
Описание

Уязвимость реализации класса JMSAppender библиотеки журналирования Java-программ Log4j связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально созданных JNDI-запросов

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Jboss Fuse (7)Red Hat Software CollectionsJBoss Enterprise Application Platform (7)JBoss Data Grid (7)OpenShift Application RuntimesRed Hat Single Sign-On (7)JBoss A-MQ (6.0)Jboss Fuse Service Works (6.0)JBoss A-MQ StreamingJboss Web Server (3)Red Hat JBoss Data Virtualization (6)Jboss Operations Network (3.0)OpenShift Container Platform (4)Log4j (1.2)Jboss Fuse (6)JBoss Enterprise Application Platform (6)JBoss A-MQ (7)CodeReady Studio (12)Red Hat Integration Camel KRed Hat Integration Camel QuarkusOpenShift Container Platform (4.8)IBM Spectrum Discover (до 2.0.4.5)ОСОН ОСнова Оnyx (до 2.4.3)ОС ОН «Стрелец» (до 16.01.2023)Android Studio (2025.2.3.9)
Способ устранения

Использование рекомендаций:
Для библиотеки Log4j:
https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-4104

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6568675

Для ОСОН Основа:
Обновление программного обеспечения apache-log4j1.2 до версии 1.2.17+repack-8+deb10u2.osnova1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache-log4j1.2 до версии 1.2.17-7+deb9u2

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2021-4104https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126https://www.kb.cert.org/vuls/id/930724https://nvd.nist.gov/vuln/detail/CVE-2021-4104https://www.ibm.com/support/pages/node/6568675https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.3/https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена