ГлавнаяБаза уязвимостей БДУ → BDU:2022-00526
8.5высокая

BDU:2022-00526 (CVE-2022-23302)

Уязвимость реализации класса JMSSink библиотеки журналирования Java-программ Log4j, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-02-01
Описание

Уязвимость реализации класса JMSSink библиотеки журналирования Java-программ Log4j связана с недостатками механизма десериализации данных Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально созданных JNDI-запросов

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Red Hat Virtualization (4)Red Hat Enterprise Linux (8)JBoss Enterprise Application Platform (7)Red Hat Single Sign-On (7)JBoss A-MQ (6.0)JBoss A-MQ StreamingJboss Web Server (3)Jboss Operations Network (3.0)OpenShift Container Platform (4)Red Hat JBoss Data Grid (7)JBoss Enterprise Application Platform (6)JBoss A-MQ (7)A-MQ Clients (2)Red Hat CodeReady Studio (12)Log4j (от 1.0 до 2.0)IBM Spectrum Discover (до 2.0.4.5)ОСОН ОСнова Оnyx (до 2.4.3)РОСА ХРОМ (12.4)ОС ОН «Стрелец» (до 16.01.2023)Android Studio (2025.2.3.9)
Способ устранения

Использование рекомендаций:
Для Log4j:
https://lists.apache.org/thread/bsr3l5qz4g0myrjhy9h67bcxodpkwj4w
https://logging.apache.org/log4j/1.2/index.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-23302

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6568675

Для ОСОН Основа:
Обновление программного обеспечения apache-log4j1.2 до версии 1.2.17+repack-8+deb10u2.osnova1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache-log4j1.2 до версии 1.2.17-7+deb9u2

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2519

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://lists.apache.org/thread/bsr3l5qz4g0myrjhy9h67bcxodpkwj4whttps://logging.apache.org/log4j/1.2/index.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2022-23302https://access.redhat.com/security/cve/cve-2022-23302https://www.ibm.com/support/pages/node/6568675https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.3/https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023https://abf.rosa.ru/advisories/ROSA-SA-2024-2519
Проверьте безопасность своего сайта и почты → Полная проверка домена