Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-06204

Опубликовано: 14 дек. 2021
Источник: fstec
CVSS3: 9
CVSS2: 7.6
EPSS Критический

Описание

Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2 связана с ошибками при десериализации данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения
Red Hat Inc.
Novell Inc.
Apache Software Foundation
ООО «Ред Софт»
ФССП России
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
OpenShift Container Platform
Jboss Fuse
JBoss Enterprise Application Platform
OpenShift Application Runtimes
JBoss A-MQ Streaming
openSUSE Tumbleweed
Data Grid
Red Hat Process Automation
Red Hat Integration Camel K
OpenSUSE Leap
Red Hat Integration Camel Quarkus
OpenShift Logging
Log4j
РЕД ОС
ОС ТД АИС ФССП России
ОСОН ОСнова Оnyx

Версия ПО

9 (Debian GNU/Linux)
3.11 (OpenShift Container Platform)
7 (Jboss Fuse)
10 (Debian GNU/Linux)
7 (JBoss Enterprise Application Platform)
- (OpenShift Application Runtimes)
- (JBoss A-MQ Streaming)
- (openSUSE Tumbleweed)
8 (Data Grid)
7 (Red Hat Process Automation)
4.6 (OpenShift Container Platform)
4.7 (OpenShift Container Platform)
- (Red Hat Integration Camel K)
15.3 (OpenSUSE Leap)
- (Red Hat Integration Camel Quarkus)
11 (Debian GNU/Linux)
4.8 (OpenShift Container Platform)
5.0 (OpenShift Logging)
5.1 (OpenShift Logging)
5.2 (OpenShift Logging)
5.3 (OpenShift Logging)
от 2.0.1 до 2.12.2 (Log4j)
от 2.13.0 до 2.16.0 (Log4j)
7.3 (РЕД ОС)
ИК6 (ОС ТД АИС ФССП России)
до 2.4.2 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ФССП России ОС ТД АИС ФССП России ИК6

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Log4j2:
https://logging.apache.org/log4j/2.x/security.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-45046
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-45046
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-45046.html
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для ОСОН Основа:
Обновление программного обеспечения apache-log4j2 до версии 2.17.0+repack-1~deb10u1.osnova1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.9434
Критический

9 Critical

CVSS3

7.6 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20211223-01

redos
больше 3 лет назад

Множественные уязвимости Log4j

ubuntu логотип

CVE-2021-45046

CVSS3: 9
ubuntu
больше 3 лет назад

It was found that the fix to address CVE-2021-44228 in Apache Log4j 2.15.0 was incomplete in certain non-default configurations. This could allows attackers with control over Thread Context Map (MDC) input data when the logging configuration uses a non-default Pattern Layout with either a Context Lookup (for example, $${ctx:loginId}) or a Thread Context Map pattern (%X, %mdc, or %MDC) to craft malicious input data using a JNDI Lookup pattern resulting in an information leak and remote code execution in some environments and local code execution in all environments. Log4j 2.16.0 (Java 8) and 2.12.2 (Java 7) fix this issue by removing support for message lookup patterns and disabling JNDI functionality by default.

redhat логотип

CVE-2021-45046

CVSS3: 8.1
redhat
больше 3 лет назад

It was found that the fix to address CVE-2021-44228 in Apache Log4j 2.15.0 was incomplete in certain non-default configurations. This could allows attackers with control over Thread Context Map (MDC) input data when the logging configuration uses a non-default Pattern Layout with either a Context Lookup (for example, $${ctx:loginId}) or a Thread Context Map pattern (%X, %mdc, or %MDC) to craft malicious input data using a JNDI Lookup pattern resulting in an information leak and remote code execution in some environments and local code execution in all environments. Log4j 2.16.0 (Java 8) and 2.12.2 (Java 7) fix this issue by removing support for message lookup patterns and disabling JNDI functionality by default.

nvd логотип

CVE-2021-45046

CVSS3: 9
nvd
больше 3 лет назад

It was found that the fix to address CVE-2021-44228 in Apache Log4j 2.15.0 was incomplete in certain non-default configurations. This could allows attackers with control over Thread Context Map (MDC) input data when the logging configuration uses a non-default Pattern Layout with either a Context Lookup (for example, $${ctx:loginId}) or a Thread Context Map pattern (%X, %mdc, or %MDC) to craft malicious input data using a JNDI Lookup pattern resulting in an information leak and remote code execution in some environments and local code execution in all environments. Log4j 2.16.0 (Java 8) and 2.12.2 (Java 7) fix this issue by removing support for message lookup patterns and disabling JNDI functionality by default.

debian логотип

CVE-2021-45046

CVSS3: 9
debian
больше 3 лет назад

It was found that the fix to address CVE-2021-44228 in Apache Log4j 2. ...

EPSS

Процентиль: 100%
0.9434
Критический

9 Critical

CVSS3

7.6 High

CVSS2