CVE-2020-9488

Опубликовано: 25 апр. 2020

Источник: redhat

CVSS3: 3.7

EPSS Низкий

Описание

Improper validation of certificate with host mismatch in Apache Log4j SMTP appender. This could allow an SMTPS connection to be intercepted by a man-in-the-middle attack which could leak any log messages sent through that appender. Fixed in Apache Log4j 2.12.3 and 2.13.1

Меры по смягчению последствий

Previous versions can set the system property mail.smtp.ssl.checkserveridentity to true to globally enable hostname verification for SMTPS connections.

Затронутые пакеты

Платформа	Пакет	Состояние
Red Hat AMQ Broker 7	log4j	Fix deferred
Red Hat BPM Suite 6	log4j	Out of support scope
Red Hat CodeReady Studio 12	log4j	Affected
Red Hat Enterprise Linux 5	log4j	Out of support scope
Red Hat Enterprise Linux 6	log4j	Out of support scope
Red Hat Enterprise Linux 7	log4j	Fix deferred
Red Hat Enterprise Linux 8	parfait:0.5/log4j12	Fix deferred
Red Hat JBoss A-MQ 6	log4j	Out of support scope
Red Hat JBoss BRMS 5	log4j	Out of support scope
Red Hat JBoss BRMS 6	log4j	Out of support scope

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low

Дефект:

CWE-295

https://bugzilla.redhat.com/show_bug.cgi?id=1831139log4j: improper validation of certificate with host mismatch in SMTP appender

EPSS

Процентиль: 2%

0.00016

Низкий

3.7 Low

CVSS3

Связанные уязвимости

CVE-2020-9488

CVSS3: 3.7

ubuntu

около 5 лет назад

CVE-2020-9488

CVSS3: 3.7

nvd

около 5 лет назад

CVE-2020-9488

CVSS3: 3.7

debian

около 5 лет назад

Improper validation of certificate with host mismatch in Apache Log4j ...

GHSA-vwqq-5vrc-xw9h

CVSS3: 3.7

github

около 5 лет назад

Improper validation of certificate with host mismatch in Apache Log4j SMTP appender

BDU:2020-03624

CVSS3: 3.7

fstec

около 5 лет назад

Уязвимость реализации класса SmtpAppender библиотеки журналирования Java-программ Log4j, позволяющая нарушителю реализовать атаку типа «человек посередине»

EPSS

Процентиль: 2%

0.00016

Низкий

3.7 Low

CVSS3