Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07207

Опубликовано: 10 мар. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость компонентов Chainsaw и SocketAppender программы для журналирования Java-программ Log4j связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
АО «НТЦ ИТ РОСА»
Apache Software Foundation

Наименование ПО

Red Hat Enterprise Linux
Jboss Web Server
Debian GNU/Linux
Red Hat Software Collections
JBoss Enterprise Application Platform
JBoss Data Grid
OpenShift Application Runtimes
Red Hat Single Sign-On
Red Hat JBoss Data Virtualization
Jboss Fuse
A-MQ Clients
Data Grid
OpenShift Developer Tools and Services
РОСА ХРОМ
Migration Toolkit for Runtimes
Red Hat JBoss A-MQ Streams
Jboss Fuse Service Works
Red Hat OpenShift Dev Spaces
Log4j
JBoss EAP

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
5.0 (Jboss Web Server)
10 (Debian GNU/Linux)
- (Red Hat Software Collections)
7 (JBoss Enterprise Application Platform)
7 (JBoss Data Grid)
- (OpenShift Application Runtimes)
7 (Red Hat Single Sign-On)
3 (Jboss Web Server)
6 (Red Hat JBoss Data Virtualization)
6 (Jboss Fuse)
2 (A-MQ Clients)
8 (Data Grid)
11 (Debian GNU/Linux)
7.4 for RHEL 8 (JBoss Enterprise Application Platform)
7.4 on RHEL 7 (JBoss Enterprise Application Platform)
9 (Red Hat Enterprise Linux)
- (OpenShift Developer Tools and Services)
12.4 (РОСА ХРОМ)
- (Migration Toolkit for Runtimes)
- (Red Hat JBoss A-MQ Streams)
6 (Jboss Fuse Service Works)
7.4 for RHEL 9 (JBoss Enterprise Application Platform)
- (Red Hat OpenShift Dev Spaces)
от 1.0.4 до 2.0 (Log4j)
7.4.13 (JBoss EAP)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Red Hat Inc. Red Hat Enterprise Linux 9
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Log4j:
https://lists.apache.org/thread/wkx6grrcjkh86crr49p4blc1v1nflj3t
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-26464
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-26464
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2519

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 23%
0.00075
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-26464

CVSS3: 7.5
ubuntu
больше 2 лет назад

** UNSUPPORTED WHEN ASSIGNED ** When using the Chainsaw or SocketAppender components with Log4j 1.x on JRE less than 1.7, an attacker that manages to cause a logging entry involving a specially-crafted (ie, deeply nested) hashmap or hashtable (depending on which logging component is in use) to be processed could exhaust the available memory in the virtual machine and achieve Denial of Service when the object is deserialized. This issue affects Apache Log4j before 2. Affected users are recommended to update to Log4j 2.x. NOTE: This vulnerability only affects products that are no longer supported by the maintainer.

redhat логотип

CVE-2023-26464

CVSS3: 7.5
redhat
больше 2 лет назад

** UNSUPPORTED WHEN ASSIGNED ** When using the Chainsaw or SocketAppender components with Log4j 1.x on JRE less than 1.7, an attacker that manages to cause a logging entry involving a specially-crafted (ie, deeply nested) hashmap or hashtable (depending on which logging component is in use) to be processed could exhaust the available memory in the virtual machine and achieve Denial of Service when the object is deserialized. This issue affects Apache Log4j before 2. Affected users are recommended to update to Log4j 2.x. NOTE: This vulnerability only affects products that are no longer supported by the maintainer.

nvd логотип

CVE-2023-26464

CVSS3: 7.5
nvd
больше 2 лет назад

** UNSUPPORTED WHEN ASSIGNED ** When using the Chainsaw or SocketAppender components with Log4j 1.x on JRE less than 1.7, an attacker that manages to cause a logging entry involving a specially-crafted (ie, deeply nested) hashmap or hashtable (depending on which logging component is in use) to be processed could exhaust the available memory in the virtual machine and achieve Denial of Service when the object is deserialized. This issue affects Apache Log4j before 2. Affected users are recommended to update to Log4j 2.x. NOTE: This vulnerability only affects products that are no longer supported by the maintainer.

debian логотип

CVE-2023-26464

CVSS3: 7.5
debian
больше 2 лет назад

** UNSUPPORTED WHEN ASSIGNED ** When using the Chainsaw or SocketAppe ...

github логотип

GHSA-vp98-w2p3-mv35

CVSS3: 7.5
github
больше 2 лет назад

Apache Log4j 1.x (EOL) allows Denial of Service (DoS)

EPSS

Процентиль: 23%
0.00075
Низкий

7.5 High

CVSS3

7.8 High

CVSS2