Apache Log4j2 sérülékenysége
Angol cím: Apache Log4j2 vulnerability
Publikálás dátuma: 2021.12.14.
Utolsó módosítás dátuma: 2022.10.06.
Leírás
Nem megbízható adatok deszerializációja: Az applikáció úgy deszerializálja a nem megbízható adatokat, hogy nem ellenőrzi az eredmény hitelességét.
Leírás forrása: CWE-502Elemzés leírás
Eredeti nyelven: It was found that the fix to address CVE-2021-44228 in Apache Log4j 2.15.0 was incomplete in certain non-default configurations. This could allows attackers with control over Thread Context Map (MDC) input data when the logging configuration uses a non-default Pattern Layout with either a Context Lookup (for example, $${ctx:loginId}) or a Thread Context Map pattern (%X, %mdc, or %MDC) to craft malicious input data using a JNDI Lookup pattern resulting in an information leak and remote code execution in some environments and local code execution in all environments. Log4j 2.16.0 (Java 8) and 2.12.2 (Java 7) fix this issue by removing support for message lookup patterns and disabling JNDI functionality by default.
Elemzés leírás forrása: CVE-2021-45046Hatás
CVSS3.1 Súlyosság és Metrika
Alap pontszám: 9 (Kritikus)
Vektor: AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Hatás pontszáma: 6
Kihasználhatóság pontszáma: 2.2
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Magas
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
www.openwall.com
www.openwall.com
www.openwall.com
cert-portal.siemens.com
cert-portal.siemens.com
cert-portal.siemens.com
cert-portal.siemens.com
lists.fedoraproject.org
lists.fedoraproject.org
logging.apache.org
psirt.global.sonicwall.com
tools.cisco.com
www.cve.org
www.debian.org
www.intel.com
www.kb.cert.org
www.oracle.com
www.oracle.com
www.oracle.com
www.oracle.com
Sérülékeny szoftverek
Apache Software Foundation Log4j 2.0.1-tól 2.12.2 előttig
Apache Software Foundation Log4j 2.13.0-tól 2.16.0 előttig
Apache Software Foundation Log4j 2.0
Apache Software Foundation Log4j Beta9 2.0
Apache Software Foundation Log4j Release Candidate 1 2.0
Apache Software Foundation Log4j Release Candidate 2 2.0
Intel Audio Development Kit
Intel Computer Vision Annotation Tool
Intel Datacenter Manager
Intel Genomics Kernel Library
Intel Oneapi for Eclipse
Intel Secure Device Onboard
Intel Sensor Solution Firmware Development Kit
Intel System Debugger
Intel System Studio
siemens / sppa-t3000 ses3000 firmware
Siemens SPPA-T3000 SeS3000 nem érintett
siemens / captial 2019.1 előttig
Siemens Captial 2019.1
Siemens Captial Service Pack 1912 2019.1
Siemens COMOS Update 457
Siemens Desigo CC Advanced Reports 4.0
Siemens Desigo CC Advanced Reports 4.1
Siemens Desigo CC Advanced Reports 4.2
Siemens Desigo CC Advanced Reports 5.0
Siemens Desigo CC Advanced Reports 5.1
Siemens Desigo Cc Info Center 5.0
Siemens Desigo Cc Info Center 5.1
siemens / e-car operation center 2021-12-13 előttig
Siemens Energy Engage 3.1
Siemens EnergyIP 8.5
Siemens EnergyIP 8.6
Siemens EnergyIP 8.7
Siemens EnergyIP 9.0
siemens / energyip prepay 3.7
siemens / energyip prepay 3.8
siemens / gma-manager 8.6.2j-398 előttig
Siemens Head-end System Universal Device Integration System
Siemens Industrial Edge Management
siemens / industrial edge management hub 2021-12-13 előttig
Siemens Logo! Soft Comfort
siemens / mendix
siemens / mindsphere 2021-12-11 előttig
siemens / navigator 2021-12-13 előttig
siemens / nx
Siemens Opcenter Intelligence
siemens / operation scheduler
Siemens SENTRON powermanager 4.1
Siemens SENTRON powermanager 4.2
Siemens SIGUARD DSA 4.2
Siemens SIGUARD DSA 4.3
Siemens SIGUARD DSA 4.4
Siemens SiPass Integrated 2.80
Siemens SiPass Integrated 2.85
siemens / siveillance command
siemens / siveillance control pro
Siemens Siveillance Identity 1.5
Siemens Siveillance Identity 1.6
Siemens Siveillance Vantage
siemens / siveillance viewpoint
siemens / solid edge cam pro
siemens / solid edge harness design 2020 előttig
Siemens Solid Edge Harness Design 2020
Siemens Solid Edge Harness Design 2020
Siemens Solid Edge Harness Design Service Pack 2002 2020
Siemens Spectrum Power 4 4.70 előttig
Siemens Spectrum Power 4 4.70
Siemens Spectrum Power 4 Service Pack 7 4.70
Siemens Spectrum Power 4 Service Pack 8 4.70
Siemens Spectrum Power 7 2.30 előttig
Siemens Spectrum Power 7 2.30
Siemens Spectrum Power 7 2.30
Siemens Spectrum Power 7 Service Pack 2 2.30
Siemens Teamcenter
Siemens TraceAlertServerPLUS
Siemens Vesys 2019.1 előttig
Siemens Vesys 2019.1
Siemens Vesys 2019.1
Siemens Vesys Service Pack 1912 2019.1
Siemens Xpedition Enterprise
Siemens Xpedition Package Integrator
Debian Linux 10.0
Debian Debian Linux 11.0
Sonicwall Email Security 10.0.12 előttig
Fedoraproject Fedora 34
Fedora 35
Siemens 6BK1602-0AA12-0TP0 Firmware 2.7.0 előttig
Siemens 6BK1602-0AA12-0TP0 nem érintett
Siemens 6BK1602-0AA22-0TP0 Firmware 2.7.0 előttig
Siemens 6BK1602-0AA22-0TP0 nem érintett
Siemens 6BK1602-0AA32-0TP0 Firmware 2.7.0 előttig
Siemens 6BK1602-0AA32-0TP0 nem érintett
Siemens 6BK1602-0AA42-0TP0 Firmware 2.7.0 előttig
Siemens 6BK1602-0AA42-0TP0 nem érintett
Siemens 6BK1602-0AA52-0TP0 Firmware 2.7.0 előttig
Siemens 6BK1602-0AA52-0TP0 nem érintett