2022-0203: Apache Log4j: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2022-01-27 12:11)
- Neues Advisory
- Version 2 (2022-01-28 08:29)
- Für SUSE OpenStack Cloud 8, 9, Crowbar 8 und 9, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP3 und 12 SP4 sowie SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 stehen Sicherheitsupdates für 'log4j' bereit, um die Schwachstellen zu beheben.
- Version 3 (2022-01-28 09:03)
- Für die Distributionen openSUSE Leap 15.3 und 15.4 sowie für SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux Enterprise Server 15 und 15 SP1 ESPOS / LTSS, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS, SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'log4j' bereit, um die Schwachstellen zu beheben.
- Version 4 (2022-01-31 08:50)
- Für die Distributionen openSUSE Leap 15.3 und 15.4 sowie für SUSE Manager Server, Retail Branch Server und Proxy jeweils in Version 4.1, SUSE Linux Enterprise Server for SAP 15 SP2, SUSE Linux Enterprise Server 15 SP2 BCL / LTSS, SUSE Linux Enterprise Realtime Extension 15 SP2, SUSE Linux Enterprise Module for Development Tools 15 SP3 und 15 SP4, SUSE Linux Enterprise Module for Basesystem 15 SP3 und 15 SP4, SUSE Linux Enterprise High Performance Computing 15 SP2 ESPOS / LTSS sowie SUSE Enterprise Storage 7 stehen Sicherheitsupdates für 'log4j12' bereit, um die Schwachstellen und einen weiteren, nicht sicherheitsrelevanten Fehler zu beheben.
- Version 5 (2022-02-04 11:22)
- Für Red Hat Software Collections 1 für Red Hat Enterprise Linux Server und Workstation 7 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'rh-maven36-log4j12' adressiert werden.
- Version 6 (2022-02-18 12:29)
- IBM informiert darüber, dass IBM WebSphere Application Server 7.0, 8.0, 8.5 und 9.0 sowie IBM WebSphere Application Server Liberty in den Versionen 17.0.0.3 bis inklusive 21.0.0.12 von den Schwachstellen in Log4j betroffen sind. Als Sicherheitsupdate wird der Interim Fix PH42762 für alle Versionszweige bereitgestellt. Die Schwachstellen werden darüber hinaus mit den angekündigten Versionen 8.5.5.21, 9.0.5.11 und 22.0.0.1 (Liberty) adressiert. IBM gibt zusätzlich Hinweise zu weiteren, nach dem Update notwendigen Schritten und zu existierenden Workarounds.
Betroffene Software
Entwicklung
Middleware
Server
Betroffene Plattformen
Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.
Für SUSE Linux Enterprise Server 11 SP4 LTSS steht ein Sicherheitsupdate für 'log4j' bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2022-23302
Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-23305
Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen SQL-CodesCVE-2022-23307
Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.