10критическая
BDU:2023-07205
Уязвимость адаптера JDBCAppender программы для журналирования Java-программ Log4j, позволяющая нарушителю выполнять произвольные SQL-запросы к базе данных
Опубликовано: 2023-10-27
Описание
Уязвимость адаптера JDBCAppender программы для журналирования Java-программ Log4j связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные SQL-запросы к базе данных
Затрагиваемое ПО и версии
Business Process Management Suite (12.2.1.3.0)WebLogic Server (12.2.1.3.0)Business Intelligence Enterprise Edition (12.2.1.3.0)Business Intelligence Enterprise Edition (12.2.1.4.0)Oracle JDeveloper (12.2.1.3.0)Oracle Communications Messaging Server (8.1)SQL Server (2017)WebLogic Server (12.2.1.4.0)Enterprise Manager Base Platform (13.4.0.0)WebLogic Server (14.1.1.0.0)Business Process Management Suite (12.2.1.4.0)Oracle Communications Network Integrity (7.3.6)Oracle Retail Extract Transform and Load (13.2.5)Identity Manager Connector (11.1.1.5.0)Advanced Supply Chain Planning (12.1)Advanced Supply Chain Planning (12.2)SnapManager for OracleSnapManager for SAPEnterprise Manager Base Platform (13.5.0.0)Business Intelligence Enterprise Edition (5.9.0.0.0)Communications Instant Messaging Server (10.0.1.5.0)Communications Unified Inventory Management (7.4.1)ОСОН ОСнова Оnyx (до 2.4.3)MySQL Enterprise Monitor (до 8.0.29 включительно)РОСА ХРОМ (12.4)Middleware Common Libraries and Tools (12.2.1.4.0)Log4j (от 1.2.0 до 1.2.17 включительно)Brocade SANnavreload4j (до 1.2.18.2)Communications EAGLE FTP Table Base Retrieval (4.5)
Способ устранения
Использование рекомендаций:
Для программных продуктов Apache Software Foundation:
https://security.netapp.com/advisory/ntap-20220217-0007/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
Для программных продуктов NetApp:
https://security.netapp.com/advisory/ntap-20220217-0007/
Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache-log4j1.2 до версии 1.2.17-7+deb9u2
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения apache-log4j1.2 до версии 1.2.17+repack-8+deb10u2.osnova1
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2519
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи