UPDATE: DFN-CERT-2017-0714 Apache Log4j: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora][RedHat]

UPDATE: DFN-CERT-2017-0714 Apache Log4j: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 6 (08.12.2017):
Für Red Hat Enterprise Linux 5 und 6 stehen Sicherheitsupdates für die Red
Hat JBoss Enterprise Application Platform 5.2.0 zur Behebung der
Schwachstelle bereit.
Version 5 (10.08.2017):
Oracle stellt ein Backport-Sicherheitsupdate für Apache Log4j in Oracle
Linux 7 (x86_64) bereit, mit dem die Schwachstelle behoben wird.
Version 4 (07.08.2017):
Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produktvarianten
Server, Workstation, Desktop, Scientific Computing sowie Server for ARM,
für die Extended Update Support (EUS) 7.4 Produkte Server und Compute Node
sowie für Red Hat Enterprise Linux Server 7.4 Advanced Update Support
(AUS) und Server 7.4 Telco Update Support (TUS) Sicherheitsupdates für
‘log4j’.
Version 3 (08.06.2017):
Für Red Hat Software Collections 1 für Red Hat Enterprise Linux 6 und 7
stehen Sicherheitsupdates für ‘rh-java-common-log4j’ bereit.
Version 2 (06.06.2017):
Für Fedora 24, 25 und 26 stehen Sicherheitsupdates für ‘log4j12’ im Status
‘testing’ bereit.
Version 1 (25.04.2017):
Neues Advisory

Betroffene Software:

Apache Software Foundation Apache Log4j < 2.8.2 Betroffene Plattformen: Red Hat JBoss Enterprise Application Platform 5.2.0 Red Hat Software Collections 1 RHEL 6 Red Hat Software Collections 1 RHEL 7 GNU/Linux Oracle Linux 7 Red Hat Enterprise Linux 5 Red Hat Enterprise Linux 6 Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux 7.4 EUS Compute Node Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Server 7.4 AUS Red Hat Enterprise Linux Server 7.4 EUS Red Hat Enterprise Linux Server 7.4 TUS Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Wird der TCP- oder der UDP-Socketserver für den Empfang von Log-Daten von anderen Anwendungen verwendet, kann ein entfernter, nicht authentisierter Angreifer mittels präparierter Binärdaten beliebigen Programmcode in Apache Log4j zur Ausführung bringen. Der Hersteller informiert über die Schwachstelle und stellt in Version 2.8.2 der Software die Möglichkeit zur Spezifizierung von Klassen, die in TcpSocketServer und UdpSocketServer deserialisiert werden dürfen, über Whitelists bereit. Für Fedora 24, 25 und 26 stehen Backport-Sicherheitsupdates in Form der Pakete 'log4j-2.5-3.fc24', 'log4j-2.5-5.fc25' und 'log4j-2.7-4.fc26' bereit. Die Pakete für Fedora 24 und 26 befinden sich aktuell noch im Status 'pending' und das Paket für Fedora 25 ist im Status 'testing'. Patch: Apache Log4j 2 Release 2.8.2 Release Notes https://logging.apache.org/log4j/2.x/changes-report.html#a2.8.2

Patch:

Fedora Security Update FEDORA-2017-11edc0d6c3 (Fedora 26, log4j-2.7-4)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-11edc0d6c3

Patch:

Fedora Security Update FEDORA-2017-2ccfbd650a (Fedora 24, log4j-2.5-3)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-2ccfbd650a

Patch:

Fedora Security Update FEDORA-2017-511ebfa8a3 (Fedora 25, log4j-2.5-5)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-511ebfa8a3

Patch:

Fedora Security Update FEDORA-2017-7e0ff7f73a (log4j12-1.2.17-19.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-7e0ff7f73a

Patch:

Fedora Security Update FEDORA-2017-8348115acd (log4j12-1.2.17-19.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-8348115acd

Patch:

Fedora Security Update FEDORA-2017-b8358cda24 (log4j12-1.2.17-19.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-b8358cda24

Patch:

Red Hat Security Advisory RHSA-2017:1417

http://rhn.redhat.com/errata/RHSA-2017-1417.html

Patch:

Red Hat Security Advisory RHSA-2017:2423

http://rhn.redhat.com/errata/RHSA-2017-2423.html

Patch:

Oracle Linux Security Advisory ELSA-2017-2423

https://linux.oracle.com/errata/ELSA-2017-2423.html

Patch:

Red Hat Security Advisory RHSA-2017:3399

https://access.redhat.com/errata/RHSA-2017:3399

CVE-2017-5645: Schwachstelle in Apache Log4j ermöglicht Ausführung
beliebigen Programmcodes

In Apache Log4j existiert eine Schwachstelle, die, wenn der TCP- oder der
UDP-Socketserver zum Empfang serialisierter Log-Daten verwendet werden, bei
der Deserialisierung speziell präparierter Binärdaten die Ausführung
beliebigen Programmcodes ermöglicht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0714/

Schwachstelle CVE-2017-5645 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5645

Apache Log4j 2 Release 2.8.2 Release Notes:
https://logging.apache.org/log4j/2.x/changes-report.html#a2.8.2

Fedora Security Update FEDORA-2017-11edc0d6c3 (Fedora 26, log4j-2.7-4):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-11edc0d6c3

Fedora Security Update FEDORA-2017-2ccfbd650a (Fedora 24, log4j-2.5-3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2ccfbd650a

Fedora Security Update FEDORA-2017-511ebfa8a3 (Fedora 25, log4j-2.5-5):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-511ebfa8a3

Fedora Security Update FEDORA-2017-7e0ff7f73a (log4j12-1.2.17-19.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-7e0ff7f73a

Fedora Security Update FEDORA-2017-8348115acd (log4j12-1.2.17-19.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-8348115acd

Fedora Security Update FEDORA-2017-b8358cda24 (log4j12-1.2.17-19.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b8358cda24

Red Hat Security Advisory RHSA-2017:1417:
http://rhn.redhat.com/errata/RHSA-2017-1417.html

Red Hat Security Advisory RHSA-2017:2423:
http://rhn.redhat.com/errata/RHSA-2017-2423.html

Oracle Linux Security Advisory ELSA-2017-2423:
https://linux.oracle.com/errata/ELSA-2017-2423.html

Red Hat Security Advisory RHSA-2017:3399:
https://access.redhat.com/errata/RHSA-2017:3399

Red Hat Security Advisory RHSA-2017:3400 (Text Only Advisory):
https://access.redhat.com/errata/RHSA-2017:3400

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

UPDATE: DFN-CERT-2017-0714 Apache Log4j: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (07.08.2017):
Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produktvarianten
Server, Workstation, Desktop, Scientific Computing sowie Server for ARM,
für die Extended Update Support (EUS) 7.4 Produkte Server und Compute Node
sowie für Red Hat Enterprise Linux Server 7.4 Advanced Update Support
(AUS) und Server 7.4 Telco Update Support (TUS) Sicherheitsupdates für
‘log4j’.
Version 3 (08.06.2017):
Für Red Hat Software Collections 1 für Red Hat Enterprise Linux 6 und 7
stehen Sicherheitsupdates für ‘rh-java-common-log4j’ bereit.
Version 2 (06.06.2017):
Für Fedora 24, 25 und 26 stehen Sicherheitsupdates für ‘log4j12’ im Status
‘testing’ bereit.
Version 1 (25.04.2017):
Neues Advisory

Betroffene Software:

Apache Software Foundation Apache Log4j < 2.8.2 Betroffene Plattformen: Red Hat Software Collections 1 RHEL 6 Red Hat Software Collections 1 RHEL 7 GNU/Linux Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux 7.4 EUS Compute Node Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Server 7.4 AUS Red Hat Enterprise Linux Server 7.4 EUS Red Hat Enterprise Linux Server 7.4 TUS Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Wird der TCP- oder der UDP-Socketserver für den Empfang von Log-Daten von anderen Anwendungen verwendet, kann ein entfernter, nicht authentisierter Angreifer mittels präparierter Binärdaten beliebigen Programmcode in Apache Log4j zur Ausführung bringen. Der Hersteller informiert über die Schwachstelle und stellt in Version 2.8.2 der Software die Möglichkeit zur Spezifizierung von Klassen, die in TcpSocketServer und UdpSocketServer deserialisiert werden dürfen, über Whitelists bereit. Für Fedora 24, 25 und 26 stehen Backport-Sicherheitsupdates in Form der Pakete 'log4j-2.5-3.fc24', 'log4j-2.5-5.fc25' und 'log4j-2.7-4.fc26' bereit. Die Pakete für Fedora 24 und 26 befinden sich aktuell noch im Status 'pending' und das Paket für Fedora 25 ist im Status 'testing'. Patch: Apache Log4j 2 Release 2.8.2 Release Notes https://logging.apache.org/log4j/2.x/changes-report.html#a2.8.2

Patch:

Fedora Security Update FEDORA-2017-11edc0d6c3 (Fedora 26, log4j-2.7-4)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-11edc0d6c3

Patch:

Fedora Security Update FEDORA-2017-2ccfbd650a (Fedora 24, log4j-2.5-3)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-2ccfbd650a

Patch:

Fedora Security Update FEDORA-2017-511ebfa8a3 (Fedora 25, log4j-2.5-5)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-511ebfa8a3

Patch:

Fedora Security Update FEDORA-2017-7e0ff7f73a (log4j12-1.2.17-19.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-7e0ff7f73a

Patch:

Fedora Security Update FEDORA-2017-8348115acd (log4j12-1.2.17-19.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-8348115acd

Patch:

Fedora Security Update FEDORA-2017-b8358cda24 (log4j12-1.2.17-19.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-b8358cda24

Patch:

Red Hat Security Advisory RHSA-2017:1417

http://rhn.redhat.com/errata/RHSA-2017-1417.html

Patch:

Red Hat Security Advisory RHSA-2017:2423

http://rhn.redhat.com/errata/RHSA-2017-2423.html

CVE-2017-5645: Schwachstelle in Apache Log4j ermöglicht Ausführung
beliebigen Programmcodes

In Apache Log4j besteht eine Schwachstelle, die, wenn der TCP- oder der
UDP-Socketserver zum Empfang von serialisierter Log-Daten verwendet werden,
bei der Deserialisierung speziell präparierter Binärdaten die Ausführung
beliebigen Programmcodes ermöglicht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0714/

Schwachstelle CVE-2017-5645 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5645

Apache Log4j 2 Release 2.8.2 Release Notes:
https://logging.apache.org/log4j/2.x/changes-report.html#a2.8.2

Fedora Security Update FEDORA-2017-11edc0d6c3 (Fedora 26, log4j-2.7-4):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-11edc0d6c3

Fedora Security Update FEDORA-2017-2ccfbd650a (Fedora 24, log4j-2.5-3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2ccfbd650a

Fedora Security Update FEDORA-2017-511ebfa8a3 (Fedora 25, log4j-2.5-5):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-511ebfa8a3

Fedora Security Update FEDORA-2017-7e0ff7f73a (log4j12-1.2.17-19.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-7e0ff7f73a

Fedora Security Update FEDORA-2017-8348115acd (log4j12-1.2.17-19.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-8348115acd

Fedora Security Update FEDORA-2017-b8358cda24 (log4j12-1.2.17-19.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b8358cda24

Red Hat Security Advisory RHSA-2017:1417:
http://rhn.redhat.com/errata/RHSA-2017-1417.html

Red Hat Security Advisory RHSA-2017:2423:
http://rhn.redhat.com/errata/RHSA-2017-2423.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben