2022-0204: Apache Log4j: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-01-27 13:09)

Neues Advisory

Version 2 (2022-01-28 08:04)

Für Oracle Linux 8 (aarch64, x86_64) steht ein Sicherheitsupdate für 'parfait:0.5' bereit, um die Schwachstellen zu beheben.

Version 3 (2022-01-31 17:25)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'apache-log4j1.2' in Version 1.2.17-7+deb9u2 bereit, um die Schwachstellen zu beheben.

Version 4 (2022-02-04 11:31)

Für Red Hat Enterprise Linux 5, 6 und 7 steht ein asynchroner Patch zur Behebung der Schwachstellen in Red Hat JBoss Enterprise Application Platform 6.4 bereit. Gleiches gilt für Red Hat JBoss Enterprise Application Platform 7.4 auf Red Hat Enterprise Linux 7 und 8.

Version 5 (2022-02-08 09:32)

Für Red Hat Single Sign-On 7.4.10 auf Red Hat OpenShift Container Platform 4.8 und 4.9 für RHEL 8 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'log4j' zur Verfügung.

Version 6 (2022-02-09 10:38)

Für Red Hat Virtualization Manager 4.4 (x86_64) stehen 'ovirt-engine'-Pakete als Sicherheitsupdate zur Verfügung.

Version 7 (2022-02-09 17:28)

Für SUSE OpenStack Cloud 8, 9, Crowbar 8 und 9 stehen Sicherheitsupdates für 'elasticsearch', 'elasticsearch-kit', 'kafka', 'kafka-kit', 'logstash', 'openstack-monasca-agent', 'openstack-monasca-log-metrics', 'openstack-monasca-log-persister', 'openstack-monasca-log-transformer', 'openstack-monasca-persister-java', 'openstack-monasca-persister-java-kit', 'openstack-monasca-thresh', 'openstack-monasca-thresh-kit', 'spark', 'spark-kit', 'venv-openstack-monasca', 'zookeeper' und 'zookeeper-kit' bereit, welche die Schwachstellen in 'log4j' adressieren.

Version 8 (2022-02-15 09:19)

Für Red Hat JBoss Web Server 3.1 for Red Hat Enterprise Linux 7 steht Red Hat JBoss Web Server 3.1 Service Pack 14 als Sicherheitsupdate bereit, um die Schwachstellen zu beheben.

Version 9 (2022-02-16 10:07)

Für Red Hat JBoss Fuse 6.3 und Red Hat JBoss A-MQ 6.3 steht das Red Hat JBoss Fuse/A-MQ 6.3 R20 Sicherheitsupdate bereit, um die Schwachstellen zu beheben.

Version 10 (2022-02-17 14:25)

Für openSUSE Backports SLE 15 SP3 steht ein Sicherheitsupdate bereit, um die Schwachstellen in 'kafka' zu beheben.

Version 11 (2022-02-22 08:10)

Für openSUSE Backports SLE 15 SP2 und openSUSE Leap 15.3 stehen Sicherheitsupdates bereit, um die Schwachstellen in 'kafka' zu beheben.

Version 12 (2022-02-24 12:07)

Für Red Hat JBoss Fuse 7.10 steht das Red Hat JBoss Fuse 7.10.1 Sicherheitsupdate bereit, um die Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware
Virtualisierung

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle
Virtualisierung
Container

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Red Hat stellt Sicherheitsupdates für das 'parfait:0.5-module' für die Produkte Red Hat Enterprise Linux Extended Update Support 8.2 und 8.4 (x86_64, aarch64), Red Hat Enterprise Linux Server AUS und TUS 8.2 (x86_64) sowie Red Hat Enterprise Linux 8 (x86_64, aarch64) bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2021-4104

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-23302

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-23305

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen SQL-Codes

CVE-2022-23307

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.