ГлавнаяБаза уязвимостей БДУ → BDU:2022-00044
7.1высокая

BDU:2022-00044 (CVE-2021-44832)

Уязвимость библиотеки журналирования Java-программ Apache Log4j2, связанная с отсутствием дополнительных элементов управления доступом JNDI, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-01-10
Описание

Уязвимость библиотеки журналирования Java-программ Apache Log4j2 связана с отсутствием дополнительных элементов управления доступом JNDI. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью JDBC Appender

Затрагиваемое ПО и версии
Debian GNU/Linux (9)OpenShift Container Platform (3.11)Jboss Fuse (7)Debian GNU/Linux (10)JBoss Enterprise Application Platform (7)OpenShift Application RuntimesRed Hat Descision Manager (7)JBoss A-MQ StreamingOpenShift Container Platform (4)CodeReady Studio (12)Data Grid (8)Fedora (34)Red Hat Integration Camel KRed Hat Integration Camel QuarkusОС ОН «Стрелец» (1.0)Debian GNU/Linux (11)Fedora (35)OpenShift LoggingLog4j (от 2.0.1 до 2.3.2)Log4j (от 2.4 до 2.12.4)Log4j (от 2.13.0 до 2.17.1)ОС ТД АИС ФССП России (ИК6)ОСОН ОСнова Оnyx (до 2.4.3)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Apache Log4j2:
https://issues.apache.org/jira/browse/LOG4J2-3293

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-44832

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EVV25FXL4FU5X6X5BSL7RLQ7T6F65MRA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/T57MPJUW3MA6QGWZRTMCHHMMPQNVKGFC/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-44832

Для ОС ОН «Стрелец»:

https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН Основа:
Обновление программного обеспечения apache-log4j2 до версии 2.17.1+repack-1~deb10u1.osnova1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache-log4j2 до версии 2.12.4-0+deb9u1

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2021-44832https://issues.apache.org/jira/browse/LOG4J2-3293https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EVV25FXL4FU5X6X5BSL7RLQ7T6F65MRA/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/T57MPJUW3MA6QGWZRTMCHHMMPQNVKGFC/https://security-tracker.debian.org/tracker/CVE-2021-44832https://strelets.net/patchi-i-obnovleniya-bezopasnosti#26012022https://goslinux.fssp.gov.ru/2726972/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.3/
Проверьте безопасность своего сайта и почты → Полная проверка домена