Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2022-00044

CVSS: 6.6

18.12.2021

Уязвимость библиотеки журналирования Java-программ Apache Log4j2, связанная с отсутствием дополнительных элементов управления доступом JNDI, позволяющая нарушителю выполнить произвольный код

Уязвимость библиотеки журналирования Java-программ Apache Log4j2 связана с отсутствием дополнительных элементов управления доступом JNDI. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью JDBC Appender

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	18.12.2021
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует
Способ эксплуатации:	Инъекция
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для Apache Log4j2: https://issues.apache.org/jira/browse/LOG4J2-3293 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-44832 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EVV25FXL4FU5X6X5BSL7RLQ7T6F65MRA/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/T57MPJUW3MA6QGWZRTMCHHMMPQNVKGFC/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-44832 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОСОН Основа: Обновление программного обеспечения apache-log4j2 до версии 2.17.1+repack-1~deb10u1.osnova1 Для ОС ОН «Стрелец»: Обновление программного обеспечения apache-log4j2 до версии 2.12.4-0+deb9u1

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-20	Некорректная проверка входных данных
CWE-74	Некорректная нейтрализация специальных элементов в выходных данных, отправляемых клиенту (внедрение)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2021-44832	Apache Log4j2 vulnerable to RCE via JDBC Appender when attacker controls configuration

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.1	HIGH	2.0	AV:N/AC:H/Au:S/C:C/I:C/A:C
6.6	MEDIUM	3.0	AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2021-44832

Вендор:	Сообщество свободного программного обеспечения Red Hat Inc. Fedora Project АО «Концерн ВНИИНС» Apache Software Foundation ФССП России АО "НППКТ"
Тип ПО:	Операционная система Прикладное ПО информационных систем
Наименование ПО:	Debian GNU/Linux OpenShift Container Platform Jboss Fuse JBoss Enterprise Application Platform OpenShift Application Runtimes Red Hat Descision Manager JBoss A-MQ Streaming CodeReady Studio Data Grid Fedora Red Hat Integration Camel K Red Hat Integration Camel Quarkus ОС ОН «Стрелец» OpenShift Logging Log4j ОС ТД АИС ФССП России ОСОН ОСнова Оnyx
Версия ПО:	9 (Debian GNU/Linux) 3.11 (OpenShift Container Platform) 7 (Jboss Fuse) 10 (Debian GNU/Linux) 7 (JBoss Enterprise Application Platform) - (OpenShift Application Runtimes) 7 (Red Hat Descision Manager) - (JBoss A-MQ Streaming) 4 (OpenShift Container Platform) 12 (CodeReady Studio) 8 (Data Grid) 34 (Fedora) - (Red Hat Integration Camel K) - (Red Hat Integration Camel Quarkus) 1.0 (ОС ОН «Стрелец») 11 (Debian GNU/Linux) 35 (Fedora) - (OpenShift Logging) от 2.0.1 до 2.3.2 (Log4j) от 2.4 до 2.12.4 (Log4j) от 2.13.0 до 2.17.1 (Log4j) ИК6 (ОС ТД АИС ФССП России) до 2.4.3 (ОСОН ОСнова Оnyx) до 16.01.2023 (ОС ОН «Стрелец»)
ОС и аппаратные платформы:	Debian GNU/Linux (9) Debian GNU/Linux (10) Fedora (34) ОС ОН «Стрелец» (1.0) Debian GNU/Linux (11) Fedora (35) ОС ТД АИС ФССП России (ИК6) ОС ОН «Стрелец» (до 16.01.2023)
Ссылки на источники:	https://access.redhat.com/security/cve/cve-2021-44832 https://issues.apache.org/jira/browse/LOG4J2-3293 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EVV25FXL4FU5X6X5BSL7RLQ7T... https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/T57MPJUW3MA6QGWZRTMCHHMMP... https://security-tracker.debian.org/tracker/CVE-2021-44832 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#26012022 https://goslinux.fssp.gov.ru/2726972/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.3/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.3/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023 https://attack.mitre.org/campaigns/C0018

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2022-00044

BDU:2022-00044

Идентификатор типа ошибки

Идентификаторы CVE уязвимостей

CVSS

Идентификаторы других систем описаний уязвимостей