DFN-CERT-2017-0714 Apache Log4j: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2017-0714 Apache Log4j: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Apache Log4j < 2.8.2 Betroffene Plattformen: GNU/Linux Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Wird der TCP- oder der UDP-Socketserver für den Empfang von Log-Daten von anderen Anwendungen verwendet, kann ein entfernter, nicht authentisierter Angreifer mittels präparierter Binärdaten beliebigen Programmcode in Apache Log4j zur Ausführung bringen. Der Hersteller informiert über die Schwachstelle und stellt in Version 2.8.2 der Software die Möglichkeit zur Spezifizierung von Klassen, die in TcpSocketServer und UdpSocketServer deserialisiert werden dürfen, über Whitelists bereit. Für Fedora 24, 25 und 26 stehen Backport-Sicherheitsupdates in Form der Pakete 'log4j-2.5-3.fc24', 'log4j-2.5-5.fc25' und 'log4j-2.7-4.fc26' bereit. Die Pakete für Fedora 24 und 26 befinden sich aktuell noch im Status 'pending' und das Paket für Fedora 25 ist im Status 'testing'. Patch: Fedora Security Update FEDORA-2017-511ebfa8a3 (Fedora 25, log4j-2.5-5) https://bodhi.fedoraproject.org/updates/FEDORA-2017-511ebfa8a3

Patch:

Apache Log4j 2 Release 2.8.2 Release Notes

https://logging.apache.org/log4j/2.x/changes-report.html#a2.8.2

Patch:

Fedora Security Update FEDORA-2017-11edc0d6c3 (Fedora 26, log4j-2.7-4)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-11edc0d6c3

Patch:

Fedora Security Update FEDORA-2017-2ccfbd650a (Fedora 24, log4j-2.5-3)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-2ccfbd650a

CVE-2017-5645: Schwachstelle in Apache Log4j ermöglicht Ausführung
beliebigen Programmcodes

In Apache Log4j besteht eine Schwachstelle, die, wenn der TCP- oder der
UDP-Socketserver zum Empfang von serialisierter Log-Daten verwendet werden,
bei der Deserialisierung speziell präparierter Binärdaten die Ausführung
beliebigen Programmcodes ermöglicht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0714/

Schwachstelle CVE-2017-5645 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5645

Fedora Security Update FEDORA-2017-511ebfa8a3 (Fedora 25, log4j-2.5-5):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-511ebfa8a3

Apache Log4j 2 Release 2.8.2 Release Notes:
https://logging.apache.org/log4j/2.x/changes-report.html#a2.8.2

Fedora Security Update FEDORA-2017-11edc0d6c3 (Fedora 26, log4j-2.7-4):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-11edc0d6c3

Fedora Security Update FEDORA-2017-2ccfbd650a (Fedora 24, log4j-2.5-3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2ccfbd650a

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben