liblog4j2-java security buster

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
jcw
Beiträge: 99
Registriert: 10.01.2016 17:11:46

liblog4j2-java security buster

Beitrag von jcw » 14.12.2021 09:41:08

Hallo!

Ich möchte in Buster die Sicherheitslücke https://www.debian.org/security/2021/dsa-5020 schließen. Jetzt bekomme ich es aber nicht automatisch über den Paketmanager hin.
Anbei meine /etc/apt/sources.list. Was kann da falsch sein? Es wird überhaupt nichts aktualisiert. Ich bin davon ausgegangen, dass alles automatisch läuft.
root@jw09:/home/jw# dpkg -l | grep liblog4j1.2-java
ii liblog4j1.2-java 1.2.17-8+deb10u1 all Logging library for java
root@jw09:/home/jw# cat /etc/apt/sources.list
#

# deb cdrom:[Debian GNU/Linux 10.6.0 _Buster_ - Official amd64 NETINST 20200926-10:16]/ buster main

#deb cdrom:[Debian GNU/Linux 10.6.0 _Buster_ - Official amd64 NETINST 20200926-10:16]/ buster main

deb http://deb.debian.org/debian/ buster main contrib non-free
deb-src http://deb.debian.org/debian/ buster main contrib non-free

deb http://security.debian.org/debian-security buster/updates main
deb-src http://security.debian.org/debian-security buster/updates main

# buster-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ buster-updates main
deb-src http://deb.debian.org/debian/ buster-updates main

# This system was installed using small removable media
# (e.g. netinst, live or single CD). The matching "deb cdrom"
# entries were disabled at the end of the installation process.
# For information about how to configure apt package sources,
# see the sources.list(5) manual.

deb http://deb.debian.org/debian-security buster/updates main contrib non-free
deb-src http://deb.debian.org/debian-security buster/updates main contrib non-free
root@jw09:/home/jw# apt-get update
OK:1 http://security.debian.org/debian-security buster/updates InRelease
OK:2 http://deb.debian.org/debian buster InRelease
Holen:3 http://deb.debian.org/debian buster-updates InRelease [51,9 kB]
OK:4 http://deb.debian.org/debian-security buster/updates InRelease
Holen:5 http://deb.debian.org/debian-security buster/updates/non-free Sources [688 B]
Holen:6 http://deb.debian.org/debian-security buster/updates/non-free amd64 Packages [556 B]
Holen:7 http://deb.debian.org/debian-security buster/updates/non-free Translation-en [344 B]
Es wurden 53,5 kB in 1 s geholt (51,8 kB/s).
Paketlisten werden gelesen... Fertig
root@jw09:/home/jw# apt-get upgrade
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
Paketaktualisierung (Upgrade) wird berechnet... Fertig
Die folgenden Pakete wurden automatisch installiert und werden nicht mehr benötigt:
linux-image-4.19.0-11-amd64 linux-image-4.19.0-12-amd64 linux-image-4.19.0-13-amd64 linux-image-4.19.0-14-amd64 linux-image-4.19.0-16-amd64
Verwenden Sie »apt autoremove«, um sie zu entfernen.
0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
root@jw09:/home/jw#
Danke für die Hinweise!

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: liblog4j2-java security buster

Beitrag von mat6937 » 14.12.2021 09:46:22

jcw hat geschrieben: ↑ zum Beitrag ↑
14.12.2021 09:41:08
Was kann da falsch sein? Es wird überhaupt nichts aktualisiert. Ich bin davon ausgegangen, dass alles automatisch läuft.
root@jw09:/home/jw# dpkg -l | grep liblog4j1.2-java
ii liblog4j1.2-java 1.2.17-8+deb10u1 all Logging library for java
BTW: Die Version 1.2 ist nicht betroffen. Nur < 2.15. Siehe:

Code: Alles auswählen

apt policy liblog4j2-java

jcw
Beiträge: 99
Registriert: 10.01.2016 17:11:46

Re: liblog4j2-java security buster

Beitrag von jcw » 14.12.2021 09:58:16

Code: Alles auswählen

root@jw09:/home/jw# apt policy liblog4j2-java
liblog4j2-java:
  Installiert:           (keine)
  Installationskandidat: 2.15.0-1~deb10u1
  Versionstabelle:
     2.15.0-1~deb10u1 500
        500 http://security.debian.org/debian-security buster/updates/main amd64 Packages
        500 http://deb.debian.org/debian-security buster/updates/main amd64 Packages
     2.11.1-2 500
        500 http://deb.debian.org/debian buster/main amd64 Packages
root@jw09:/home/jw#
Verstehe ich nicht. Ich dachte, alle alten Versionen sind betroffen und müssen aktualisiert werden. Heißt das, dass kein Handlungsbedarf besteht und das System so sicher ist?

Benutzeravatar
Tintom
Moderator
Beiträge: 3029
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: liblog4j2-java security buster

Beitrag von Tintom » 14.12.2021 10:00:15

Vielleicht noch einmal etwas ausführlicher:
In Buster sind mehrere Pakete der lib enthalten:

Code: Alles auswählen

$ aptitude search liblog4j
p   liblog4j-extras1.2-java         - Extras for Apache log4j                   
p   liblog4j-extras1.2-java-doc     - Documentation for Extras for Apache log4j.
pi  liblog4j1.2-java                - Bibliothek zum Protokollieren für Java    
p   liblog4j1.2-java-doc            - Documentation for liblog4j1.2-java        
i A liblog4j2-java                  - Apache Log4j - Logging Framework for Java 
p   liblog4j2-java-doc              - Documentation for Apache Log4j 2    
Das Paket Debianliblog4j1.2-java ist nicht von dem Update betroffen. Siehe auch https://cve.mitre.org/cgi-bin/cvename.c ... 2021-44228

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: liblog4j2-java security buster

Beitrag von fischig » 14.12.2021 10:04:26

root@jw09:/home/jw# apt-get upgrade
Ob's anders gelaufen wäre, weiß ich nicht, aber ich hätte

Code: Alles auswählen

apt-get dist-upgrade
gemacht.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: liblog4j2-java security buster

Beitrag von mat6937 » 14.12.2021 10:08:39

jcw hat geschrieben: ↑ zum Beitrag ↑
14.12.2021 09:58:16

Code: Alles auswählen

root@jw09:/home/jw# apt policy liblog4j2-java
liblog4j2-java:
  Installiert:           (keine)
  Installationskandidat: 2.15.0-1~deb10u1
root@jw09:/home/jw#
Verstehe ich nicht. Ich dachte, alle alten Versionen sind betroffen und müssen aktualisiert werden. Heißt das, dass kein Handlungsbedarf besteht und das System so sicher ist?
Was "liblog4j2" betrifft ist es sicher. Und btw., auf deinem System ist "liblog4j2" ja eh nicht installiert. Was sollte dbzgl. dann unsicher sein?

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: liblog4j2-java security buster

Beitrag von fischig » 14.12.2021 10:18:40

Ein Paket liblog4j* hat er schon installiert, nur nicht das, worüber er via apt policy etwas wissen wollte. :wink:

jcw
Beiträge: 99
Registriert: 10.01.2016 17:11:46

Re: liblog4j2-java security buster

Beitrag von jcw » 14.12.2021 10:20:11

Code: Alles auswählen

root@jw09:/home/jw# apt search liblog4j
Sortierung... Fertig
Volltextsuche... Fertig
liblog4j-extras1.2-java/oldstable 1.2.17-2 all
  Extras for Apache log4j

liblog4j-extras1.2-java-doc/oldstable 1.2.17-2 all
  Documentation for Extras for Apache log4j.

liblog4j1.2-java/oldstable,oldstable,oldstable,now 1.2.17-8+deb10u1 all  [Installiert,automatisch]
  Bibliothek zum Protokollieren für Java

liblog4j1.2-java-doc/oldstable,oldstable,oldstable 1.2.17-8+deb10u1 all
  Documentation for liblog4j1.2-java

liblog4j2-java/oldstable,oldstable 2.15.0-1~deb10u1 all
  Apache Log4j - Logging Framework for Java

liblog4j2-java-doc/oldstable 2.11.1-2 all
  Documentation for Apache Log4j 2

root@jw09:/home/jw# apt-get dist-upgrade
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.       
Statusinformationen werden eingelesen.... Fertig
Paketaktualisierung (Upgrade) wird berechnet... Fertig
Die folgenden Pakete wurden automatisch installiert und werden nicht mehr benötigt:
  linux-image-4.19.0-11-amd64 linux-image-4.19.0-12-amd64 linux-image-4.19.0-13-amd64 linux-image-4.19.0-14-amd64 linux-image-4.19.0-16-amd64
Verwenden Sie »apt autoremove«, um sie zu entfernen.
0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Ok. Dann bin ich beruhigt. Ich wollte nur sichergehen, dass alles korrekt läuft. Die sources.list ist dann so korrekt, dass ggf. Sicherheitsupdates automatisch installiert werden, oder?

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: liblog4j2-java security buster

Beitrag von mat6937 » 14.12.2021 10:22:44

fischig hat geschrieben: ↑ zum Beitrag ↑
14.12.2021 10:18:40
Ein Paket liblog4j* hat er schon installiert, ...
Ich habe aber "liblog4j2" geschrieben und nicht "liblog4j*".

JTH
Moderator
Beiträge: 3014
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: liblog4j2-java security buster

Beitrag von JTH » 14.12.2021 10:23:15

jcw hat geschrieben: ↑ zum Beitrag ↑
14.12.2021 10:20:11
Die sources.list ist dann so korrekt, dass ggf. Sicherheitsupdates automatisch installiert werden, oder?
Fast. Da du in der Haupt-Repository-Zeile (mit deb.debian.org) auch contrib und non-free verwendest, solltest du der Vollständigkeit halber die beiden in der security.debian.org-Zeile auch am Ende anhängen.
Manchmal bekannt als Just (another) Terminal Hacker.

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: liblog4j2-java security buster

Beitrag von fischig » 14.12.2021 10:27:48

Ich habe aber "liblog4j2" geschrieben und nicht "liblog4j*".

Ich habe auch nicht behauptet, dass du "liblog4j*" irgendwo geschrieben hättest. Schau dir noch mal die 1.Zeile im 1. Beitrag des TE an. :wink:

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: liblog4j2-java security buster

Beitrag von mat6937 » 14.12.2021 10:30:42

fischig hat geschrieben: ↑ zum Beitrag ↑
14.12.2021 10:27:48
Ich habe auch nicht behauptet, dass du "liblog4j*" irgendwo geschrieben hättest.
Du hast mich aber zitiert und das Wort "schon" benutzt. Und ich habe vorher darauf hingewiesen, das 1.2, (zumindest lt. jetzigem Kenntnisstand) nicht betroffen. ;-)

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: liblog4j2-java security buster

Beitrag von fischig » 14.12.2021 10:38:56

6937 hat geschrieben:Du hast mich aber zitiert
Stimmt nicht. :wink:
Ich wollte mit meiner Formulierung darauf hinweisen, dass im Thread von unterschiedlichen Paketen die Rede ist, von denen der TE tatsächlich eines installiert hat.

Nichtsdestotrotz dürfte der TE (fast, s. JTH) alles richtig gemacht haben. :wink:

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: liblog4j2-java security buster

Beitrag von mat6937 » 14.12.2021 10:45:48

fischig hat geschrieben: ↑ zum Beitrag ↑
14.12.2021 10:38:56
Nichtsdestotrotz dürfte der TE (fast, s. JTH) alles richtig gemacht haben. :wink:
Warten wir mal ab, was noch kommt. Denn z. B. FreeBSD soll ja auch betroffen sein, obwohl es dort gar kein "liblog4j2" gibt (nur:

Code: Alles auswählen

:~ % pkg search log4j
log4j-1.2.17                   Fast and flexible logging library for Java
)
Die "Gefahr" soll ja mit apache einhergehen.

EDIT:

Link für den log4j-detector: https://github.com/mergebase/log4j-detector

EDIT 2:

Ja, FreeBSD ist auch betroffen. Die sind auch schon am patchen. Z. B.:

Code: Alles auswählen

-		log4j-api-2.14.0.jar:log4j_api \
-		log4j-core-2.14.0.jar:log4j_core \
+		log4j-api-2.15.0.jar:log4j_api \
+		log4j-core-2.15.0.jar:log4j_core \
Quelle: https://cgit.freebsd.org/ports/commit/? ... 641fd51b1b

EDIT 3:

Log4j 2.16.0

Benutzeravatar
speefak
Beiträge: 439
Registriert: 27.04.2008 13:54:20

Re: liblog4j2-java security buster

Beitrag von speefak » 21.12.2021 18:24:16

Um welche libs handelt es sich denn genau ? folgende sind unter BullsEye installierbar :

Code: Alles auswählen

apt search liblog4j
Sortierung… Fertig
Volltextsuche… Fertig
liblog4j-extras1.2-java/stable 1.2.17-2 all
  Extras for Apache log4j

liblog4j-extras1.2-java-doc/stable 1.2.17-2 all
  Documentation for Extras for Apache log4j.

liblog4j1.2-java/stable 1.2.17-10 all
  Bibliothek zum Protokollieren für Java

liblog4j1.2-java-doc/stable 1.2.17-10 all
  Documentation for liblog4j1.2-java

liblog4j2-java/stable-security 2.15.0-1~deb11u1 all
  Apache Log4j - Logging Framework for Java

und Buster :

Code: Alles auswählen

apt search liblog4j

Sortierung... Fertig
Volltextsuche... Fertig
liblog4j-extras1.2-java/oldstable 1.2.17-2 all
  Extras for Apache log4j

liblog4j-extras1.2-java-doc/oldstable 1.2.17-2 all
  Documentation for Extras for Apache log4j.

liblog4j1.2-java/oldstable,oldstable 1.2.17-8+deb10u1 all
  Bibliothek zum Protokollieren für Java

liblog4j1.2-java-doc/oldstable,oldstable 1.2.17-8+deb10u1 all
  Documentation for liblog4j1.2-java

liblog4j2-java/oldstable,now 2.17.0-1~deb10u1 all  [Installiert,automatisch]
  Apache Log4j - Logging Framework for Java

liblog4j2-java-doc/oldstable 2.11.1-2 all
  Documentation for Apache Log4j 2



mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: liblog4j2-java security buster

Beitrag von mat6937 » 21.12.2021 18:31:26

speefak hat geschrieben: ↑ zum Beitrag ↑
21.12.2021 18:24:16
liblog4j2-java/oldstable,now 2.17.0-1~deb10u1 all [Installiert,automatisch]
Wie ist jetzt die Ausgabe von:

Code: Alles auswählen

apt-cache policy liblog4j2-java
?

Benutzeravatar
speefak
Beiträge: 439
Registriert: 27.04.2008 13:54:20

Re: liblog4j2-java security buster

Beitrag von speefak » 22.12.2021 02:28:48

Bullseye:

Code: Alles auswählen

apt-cache policy liblog4j2-java
liblog4j2-java:
  Installiert:           (keine)
  Installationskandidat: 2.15.0-1~deb11u1
  Versionstabelle:
     2.15.0-1~deb11u1 500
        500 http://security.debian.org/debian-security bullseye-security/main amd64 Packages
     2.13.3-1 500
        500 http://ftp.de.debian.org/debian bullseye/main amd64 Packages
Buster:

Code: Alles auswählen

apt-cache policy liblog4j2-java
liblog4j2-java:
  Installiert:           2.17.0-1~deb10u1
  Installationskandidat: 2.17.0-1~deb10u1
  Versionstabelle:
 *** 2.17.0-1~deb10u1 500
        500 http://deb.debian.org/debian-security buster/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     2.11.1-2 500
        500 http://deb.debian.org/debian buster/main amd64 Packages
Einmal ein update von 2.11 auf 2.17 und einmal von 2.13 auf 2.15. Kann man irgendwo nachsehen wann die libs aktualisiert wurden ? Auf allen System laufen unatended-updates und security-backports und updates sources sind auch aktiv.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: liblog4j2-java security buster

Beitrag von mat6937 » 22.12.2021 08:57:20

speefak hat geschrieben: ↑ zum Beitrag ↑
22.12.2021 02:28:48
Bullseye:

Code: Alles auswählen

apt-cache policy liblog4j2-java
liblog4j2-java:
  Installiert:           (keine)
  Installationskandidat: 2.15.0-1~deb11u1
Buster:

Code: Alles auswählen

apt-cache policy liblog4j2-java
liblog4j2-java:
  Installiert:           2.17.0-1~deb10u1
  Installationskandidat: 2.17.0-1~deb10u1
Einmal ein update von 2.11 auf 2.17 und einmal von 2.13 auf 2.15.
Hast Du beim Buster liblog4j2-java manuell installiert oder ist das als Abhängigkeit von einem anderen package installiert worden? Beim Bullseye musst dir ja keine Gedanken machen, weil es ja nicht installiert ist bzw. nicht benötigt wird und somit stellt sich die Frage der Unsicherheit gar nicht.
speefak hat geschrieben: ↑ zum Beitrag ↑
22.12.2021 02:28:48
Kann man irgendwo nachsehen wann die libs aktualisiert wurden ?
Beim Buster in den Log-Dateien, im Verzeichnis "/var/log/apt".

Benutzeravatar
speefak
Beiträge: 439
Registriert: 27.04.2008 13:54:20

Re: liblog4j2-java security buster

Beitrag von speefak » 22.12.2021 10:37:22

ich habe die libjava4j einfach mal per remove deinstalliert um zu sehen wie die Abhängikeiten sind und siehe da, Mediathekview sollte auch deinstalliert werden. Ich gehe davon aus, dass es Mediathekview was für die libjava4j Installation verantwortlich ist.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: liblog4j2-java security buster

Beitrag von mat6937 » 22.12.2021 11:08:53

speefak hat geschrieben: ↑ zum Beitrag ↑
22.12.2021 10:37:22
ich habe die libjava4j einfach mal per remove deinstalliert um zu sehen wie die Abhängikeiten sind und siehe da, ...
Ja, stimmt. BTW: Es geht auch mit "apt show", d. h. ohne zu deinstallieren:
:~ $ apt show mediathekview | grep -i depends

WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

Depends: default-jre (>= 2:1.9) | java9-runtime, java-wrappers (>= 0.3), libjide-oss-java (>= 3.7.4), libopenjfx-java (>= 11), libcommons-compress-java, libcommons-configuration2-java, libcommons-dbcp2-java, libcommons-lang3-java, libcommons-pool2-java, libcontrolsfx-java, libguava-java, libh2-java, libjackson2-core-java, libjchart2d-java, libjiconfont-font-awesome-java, libjiconfont-java, libjiconfont-swing-java, liblog4j2-java, libmbassador-java, libmiglayout-java, libokhttp-java, libswingx-java, libxz-java
EDIT:

... oder mit reverse depends:

Code: Alles auswählen

:~ $ apt-cache rdepends liblog4j2-java
liblog4j2-java
Reverse Depends:
 |jabref
  mediathekview
  libnetty-java
  libjodd-java
  libbiojava4.0-java
  libbarclay-java
  jabref

Benutzeravatar
speefak
Beiträge: 439
Registriert: 27.04.2008 13:54:20

Re: liblog4j2-java security buster

Beitrag von speefak » 22.12.2021 14:04:33

Stimmt ;) - aber die beiden o.g. Befehle haben einen Nachteil : Es werden alle Abhängigkeiten angezeigt, auch automatisch installierte. Ein einfacher apt remove Versuch ( Abbruch nach Userrequest ) zeigt in dem 2ten Absatz direkt die nicht automatisch installierten Pakete an :

Code: Alles auswählen

remove liblog4j2-java
[sudo] Passwort für speefak: 
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.       
Statusinformationen werden eingelesen.... Fertig
Die folgenden Pakete wurden automatisch installiert und werden nicht mehr benötigt:
  flvstreamer java-wrappers libapache-pom-java libatinject-jsr330-api-java libcommons-codec-java libcommons-compress-java
  libcommons-configuration2-java libcommons-dbcp2-java libcommons-io-java libcommons-lang3-java libcommons-logging-java
  libcommons-parent-java libcommons-pool2-java libcontrolsfx-java libgoogle-gson-java libguava-java libh2-java
  libhttpclient-java libhttpcore-java libjackson2-core-java libjchart2d-java libjiconfont-font-awesome-java libjiconfont-java
  libjiconfont-swing-java libjide-oss-java libjsr305-java liblightcouch-java libmbassador-java libmiglayout-java libmongodb-java
  libokhttp-java libokio-java libopenjfx-java libopenjfx-jni libslf4j-java libswingx-java libxmlgraphics-commons-java libxz-java
Verwenden Sie »sudo apt autoremove«, um sie zu entfernen.
Die folgenden Pakete werden ENTFERNT:
  liblog4j2-java[b] mediathekview[/b]
0 aktualisiert, 0 neu installiert, 2 zu entfernen und 1 nicht aktualisiert.
Nach dieser Operation werden 4.421 kB Plattenplatz freigegeben.
Möchten Sie fortfahren? [J/n] n
Abbruch.
in dem o.g. Fall ist das noch übersichtlich, es kann aber auch schon mal ein ganze Sack an Paketen bei einer apt Abfrage dabei rauskommen. Aber gut zu wissen das es auch detaillierter geht wenn nötig ;)

Wenn ich das richtig verstanden hab: Da beide javalib Versionen über 2.14 liegen ist er Exploid somit nicht mehr möglich, weder unter Buster noch unter Bullseye ?

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: liblog4j2-java security buster

Beitrag von eggy » 22.12.2021 14:34:39

speefak hat geschrieben: ↑ zum Beitrag ↑
22.12.2021 14:04:33
Wenn ich das richtig verstanden hab: Da beide javalib Versionen über 2.14 liegen ist er Exploid somit nicht mehr möglich, weder unter Buster noch unter Bullseye ?
"über 2.14" ist nicht das Kritierium, auch in 2.15 und 2.16 wurden Probleme gefunden

https://logging.apache.org/log4j/2.x/security.html
https://security-tracker.debian.org/tra ... che-log4j2

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: liblog4j2-java security buster

Beitrag von mat6937 » 22.12.2021 14:35:39

speefak hat geschrieben: ↑ zum Beitrag ↑
22.12.2021 14:04:33
Da beide javalib Versionen über 2.14 liegen ist er Exploid somit nicht mehr möglich, weder unter Buster noch unter Bullseye ?
Nein, sicher ist nur Buster, denn die Version muss z. Zt. 2.17 sein und nicht kleiner.

Benutzeravatar
speefak
Beiträge: 439
Registriert: 27.04.2008 13:54:20

Re: liblog4j2-java security buster

Beitrag von speefak » 22.12.2021 16:38:51

Scheinbar gabs heute updates für Bullseye :

Code: Alles auswählen

apt-cache policy liblog4j2-java
liblog4j2-java:
  Installiert:           (keine)
  Installationskandidat: 2.17.0-1~deb11u1
  Versionstabelle:
     2.17.0-1~deb11u1 500
        500 http://security.debian.org/debian-security bullseye-security/main amd64 Packages
     2.16.0-1~deb11u1 500
        500 http://ftp.de.debian.org/debian bullseye/main amd64 Packages

Antworten