DFN-CERT

Advisory-Archiv

2017-0714: Apache Log4j: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-04-25 15:57)
Neues Advisory
Version 2 (2017-06-06 11:39)
Für Fedora 24, 25 und 26 stehen Sicherheitsupdates für 'log4j12' im Status 'testing' bereit.
Version 3 (2017-06-08 15:34)
Für Red Hat Software Collections 1 für Red Hat Enterprise Linux 6 und 7 stehen Sicherheitsupdates für 'rh-java-common-log4j' bereit.
Version 4 (2017-08-07 17:31)
Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produktvarianten Server, Workstation, Desktop, Scientific Computing sowie Server for ARM, für die Extended Update Support (EUS) 7.4 Produkte Server und Compute Node sowie für Red Hat Enterprise Linux Server 7.4 Advanced Update Support (AUS) und Server 7.4 Telco Update Support (TUS) Sicherheitsupdates für 'log4j'.
Version 5 (2017-08-10 11:52)
Oracle stellt ein Backport-Sicherheitsupdate für Apache Log4j in Oracle Linux 7 (x86_64) bereit, mit dem die Schwachstelle behoben wird.
Version 6 (2017-12-08 13:05)
Für Red Hat Enterprise Linux 5 und 6 stehen Sicherheitsupdates für die Red Hat JBoss Enterprise Application Platform 5.2.0 zur Behebung der Schwachstelle bereit.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Wird der TCP- oder der UDP-Socketserver für den Empfang von Log-Daten von anderen Anwendungen verwendet, kann ein entfernter, nicht authentisierter Angreifer mittels präparierter Binärdaten beliebigen Programmcode in Apache Log4j zur Ausführung bringen.

Der Hersteller informiert über die Schwachstelle und stellt in Version 2.8.2 der Software die Möglichkeit zur Spezifizierung von Klassen, die in TcpSocketServer und UdpSocketServer deserialisiert werden dürfen, über Whitelists bereit.

Für Fedora 24, 25 und 26 stehen Backport-Sicherheitsupdates in Form der Pakete 'log4j-2.5-3.fc24', 'log4j-2.5-5.fc25' und 'log4j-2.7-4.fc26' bereit. Die Pakete für Fedora 24 und 26 befinden sich aktuell noch im Status 'pending' und das Paket für Fedora 25 ist im Status 'testing'.

Schwachstellen:

CVE-2017-5645

Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.