JARVIS
Unter Debian wurde ein Update zur Schließung der Log4j Lücke für apache-log4j2 freigegeben.
– ————————————————————————-
Debian Security Advisory DSA-5022-1 security@debian.org
https://www.debian.org/security/ Markus Koschany
December 16, 2021 https://www.debian.org/security/faq
– ————————————————————————-
Package : apache-log4j2
CVE ID : CVE-2021-45046
Debian Bug : 1001729
It was found that the fix to address CVE-2021-44228 in Apache Log4j, a Logging
Framework for Java, was incomplete in certain non-default configurations. This
could allow attackers with control over Thread Context Map (MDC) input data
when the logging configuration uses a non-default Pattern Layout with either a
Context Lookup (for example, $${ctx:loginId}) or a Thread Context Map pattern
(%X, %mdc, or %MDC) to craft malicious input data using a JNDI Lookup pattern
resulting in a denial of service (DOS) attack.
For the oldstable distribution (buster), this problem has been fixed
in version 2.16.0-1~deb10u1.
For the stable distribution (bullseye), this problem has been fixed in
version 2.16.0-1~deb11u1.
We recommend that you upgrade your apache-log4j2 packages.
For the detailed security status of apache-log4j2 please refer to
its security tracker page at:
https://security-tracker.debian.org/tracker/apache-log4j2
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.