DFN-CERT

Advisory-Archiv

2021-2647: Apache Log4j: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-12-20 11:49)
Neues Advisory
Version 2 (2021-12-21 08:40)
Für openSUSE Leap 15.3 steht ein Sicherheitsupdate für 'log4j' bereit, um diese Schwachstelle zu beheben.
Version 3 (2021-12-22 15:19)
Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'log4j' bereit, um diese Schwachstelle zu beheben.
Version 4 (2022-01-10 11:50)
Red Hat stellt für Red Hat OpenShift Container Platform 4.8 für Red Hat Enterprise Linux 8 (x86_64) Sicherheitsupdates für OpenShift Logging auf die Versionen 5.1.6 und 5.2.5 bereit, um die Schwachstelle zu adressieren.
Version 5 (2022-01-10 15:35)
Red Hat veröffentlicht mit OpenShift Logging 5.3.2 ein Sicherheitsupdate zur Behebung der Schwachstelle für OpenShift Container Platform 4.9.
Version 6 (2022-01-10 16:51)
Red Hat stellt für Red Hat OpenShift Container Platform 4.7 für Red Hat Enterprise Linux 8 (x86_64) ein Sicherheitsupdate für OpenShift Logging auf die Version 5.0.11 bereit, um die Schwachstelle zu adressieren.
Version 7 (2022-04-21 11:14)
Für Red Hat Single Sign-On 7.5 für RHEL 7 und 8 (x86_64) stehen Red Hat Single Sign-On 7.5.2 Pakete als Sicherheitsupdate bereit, um die Schwachstelle zu beheben.

Betroffene Software

Entwicklung
Netzwerk
Server
Sicherheit
Systemsoftware
Virtualisierung

Betroffene Plattformen

HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer mit Kontrolle über Thread Context Map-Daten kann die Schwachstelle mit Hilfe einer speziell präparierten Zeichenkette aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Der Hersteller informiert über die Schwachstelle und stellt Apache Log4j 2.17.0 als Sicherheitsupdate bereit. Betroffen ist nur 'log4j-core'.

Für Debian 10 Buster (oldstable) und Debian 11 Bullseye (stable), für Ubuntu 21.10, Ubuntu 21.04 und Ubuntu 20.04 LTS sowie für Fedora 34 und 35 stehen Sicherheitsupdates bereit, mit denen die betroffene Software auf Version 2.17.0 aktualisiert wird. Die Sicherheitsupdates für Fedora befinden sich noch im Status 'testing'.

Schwachstellen:

CVE-2021-45105

Schwachstelle in Apache Log4j ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.