Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02355

Опубликовано: 20 дек. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость библиотеки журналирования Java-программ Log4j связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Oracle Corp.
Novell Inc.
Apache Software Foundation
АО «Концерн ВНИИНС»

Наименование ПО

WebLogic Server
SUSE Linux Enterprise Server for SAP Applications
SUSE OpenStack Cloud
SUSE Linux Enterprise Module for Open Buildservice Development Tools
Suse Linux Enterprise Server
SUSE Linux Enterprise Module for Basesystem
SUSE Enterprise Storage
SUSE Linux Enterprise Module for Development Tools
SUSE Linux Enterprise Point of Sale
OpenSUSE Leap
HPE Helion Openstack
Oracle Endeca Information Discovery Studio
Log4j
ОС ОН «Стрелец»

Версия ПО

10.3.6.0 (WebLogic Server)
12.1.3.0 (WebLogic Server)
10.3.6.0.0 (WebLogic Server)
12.1.3.0.0 (WebLogic Server)
12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
7 (SUSE OpenStack Cloud)
15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
12 SP4 (Suse Linux Enterprise Server)
12.2.1.3.0 (WebLogic Server)
15 (SUSE Linux Enterprise Module for Basesystem)
15 SP1 (SUSE Linux Enterprise Module for Basesystem)
5 (SUSE Enterprise Storage)
15 (SUSE Linux Enterprise Module for Development Tools)
15 SP1 (SUSE Linux Enterprise Module for Development Tools)
12 SP2-BCL (Suse Linux Enterprise Server)
12 SP2-ESPOS (Suse Linux Enterprise Server)
11 SP3 (SUSE Linux Enterprise Point of Sale)
12 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
15.1 (OpenSUSE Leap)
11 SP4-LTSS (Suse Linux Enterprise Server)
12 SP1-LTSS (Suse Linux Enterprise Server)
12 SP2-LTSS (Suse Linux Enterprise Server)
11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12 SP3-LTSS (Suse Linux Enterprise Server)
8 (SUSE OpenStack Cloud)
12 SP3-BCL (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications)
12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
Crowbar 8 (SUSE OpenStack Cloud)
12 SP2-CLIEN (SUSE Linux Enterprise Point of Sale)
8 (HPE Helion Openstack)
12 SP3-ESPOS (Suse Linux Enterprise Server)
12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
12.2.1.4.0 (WebLogic Server)
3.2.0 (Oracle Endeca Information Discovery Studio)
1.2 (Log4j)
14.1.1.0.0 (WebLogic Server)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Сетевое программное средство
Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. OpenSUSE Leap 15.1
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Обновление библиотеки журналирования Java-программ Log4j до актуальной версии
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-17571/
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html
Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache-log4j1.2 до версии 1.2.17-7+deb9u2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.53459
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-17571

CVSS3: 9.8
ubuntu
больше 5 лет назад

Included in Log4j 1.2 is a SocketServer class that is vulnerable to deserialization of untrusted data which can be exploited to remotely execute arbitrary code when combined with a deserialization gadget when listening to untrusted network traffic for log data. This affects Log4j versions up to 1.2 up to 1.2.17.

redhat логотип

CVE-2019-17571

CVSS3: 9.8
redhat
больше 5 лет назад

Included in Log4j 1.2 is a SocketServer class that is vulnerable to deserialization of untrusted data which can be exploited to remotely execute arbitrary code when combined with a deserialization gadget when listening to untrusted network traffic for log data. This affects Log4j versions up to 1.2 up to 1.2.17.

nvd логотип

CVE-2019-17571

CVSS3: 9.8
nvd
больше 5 лет назад

Included in Log4j 1.2 is a SocketServer class that is vulnerable to deserialization of untrusted data which can be exploited to remotely execute arbitrary code when combined with a deserialization gadget when listening to untrusted network traffic for log data. This affects Log4j versions up to 1.2 up to 1.2.17.

debian логотип

CVE-2019-17571

CVSS3: 9.8
debian
больше 5 лет назад

Included in Log4j 1.2 is a SocketServer class that is vulnerable to de ...

suse-cvrf логотип

openSUSE-SU-2020:0051-1

suse-cvrf
больше 5 лет назад

Security update for log4j

EPSS

Процентиль: 98%
0.53459
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2