7.8высокая
BDU:2023-07207 (CVE-2023-26464)
Уязвимость компонентов Chainsaw и SocketAppender программы для журналирования Java-программ Log4j, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-10-27
Описание
Уязвимость компонентов Chainsaw и SocketAppender программы для журналирования Java-программ Log4j связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Jboss Web Server (5.0)Debian GNU/Linux (10)Red Hat Software CollectionsJBoss Enterprise Application Platform (7)JBoss Data Grid (7)OpenShift Application RuntimesRed Hat Single Sign-On (7)Jboss Web Server (3)Red Hat JBoss Data Virtualization (6)Jboss Fuse (6)A-MQ Clients (2)Data Grid (8)Debian GNU/Linux (11)JBoss Enterprise Application Platform (7.4 for RHEL 8)JBoss Enterprise Application Platform (7.4 on RHEL 7)Red Hat Enterprise Linux (9)OpenShift Developer Tools and ServicesРОСА ХРОМ (12.4)Migration Toolkit for RuntimesRed Hat JBoss A-MQ StreamsJboss Fuse Service Works (6)JBoss Enterprise Application Platform (7.4 for RHEL 9)Red Hat OpenShift Dev SpacesLog4j (от 1.0.4 до 2.0)JBoss EAP (7.4.13)Android Studio (2025.2.3.9)
Способ устранения
Использование рекомендаций:
Для Log4j:
https://lists.apache.org/thread/wkx6grrcjkh86crr49p4blc1v1nflj3t
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-26464
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-26464
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2519
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи