liblog4j2-java (2.13.3-1) -> 2.15.0-1 -> 2.17.0-1
liblog4j2-java (2.13.3-1) -> 2.15.0-1 -> 2.17.0-1
Habe gerade auf meiner Testing-Kiste
liblog4j2-java (2.13.3-1) -> 2.15.0-1
manuellen upgrade gemacht.
Hintergrund:
https://github.com/Cybereason/Logout4Shell
liblog4j2-java (2.13.3-1) -> 2.15.0-1
manuellen upgrade gemacht.
Hintergrund:
https://github.com/Cybereason/Logout4Shell
Zuletzt geändert von dufty2 am 19.12.2021 08:46:58, insgesamt 1-mal geändert.
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1
Ich hab grad Blender von 3.0.0-1 auf 3.0.0-2 geupdated – sollte ich da auch ’nen Thread aufmachen?dufty2 hat geschrieben:12.12.2021 20:36:58Habe gerade auf meiner Testing-Kiste
liblog4j2-java (2.13.3-1) -> 2.15.0-1
manuellen upgrade gemacht.
Security-ML hat geschrieben: Package : apache-log4j2
CVE ID : CVE-2021-44228 CVE-2020-9488
Debian Bug : 959450 1001478
Chen Zhaojun of Alibaba Cloud Security Team discovered a critical security
vulnerability in Apache Log4j, a popular Logging Framework for Java. JNDI
features used in configuration, log messages, and parameters do not protect
against attacker controlled LDAP and other JNDI related endpoints. An attacker
who can control log messages or log message parameters can execute arbitrary
code loaded from LDAP servers when message lookup substitution is enabled. From
version 2.15.0, this behavior has been disabled by default.
This update also fixes CVE-2020-9488 in the oldstable distribution
(buster). Improper validation of certificate with host mismatch in Apache Log4j
SMTP appender. This could allow an SMTPS connection to be intercepted by a
man-in-the-middle attack which could leak any log messages sent through that
appender.
For the oldstable distribution (buster), this problem has been fixed
in version 2.15.0-1~deb10u1.
For the stable distribution (bullseye), this problem has been fixed in
version 2.15.0-1~deb11u1.
We recommend that you upgrade your apache-log4j2 packages.
For the detailed security status of apache-log4j2 please refer to
its security tracker page at:
https://security-tracker.debian.org/tra ... che-log4j2
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1
Das Teil hat severity rating 10.
Wie dem https://lwn.net/Articles/878390/#Comments zu entnehmen ist:
This already ruined the weekend for many folks in the industry (myself included).
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1
Da aber sowieso jeder täglich Updates macht, hat ja nun schon jeder die gepatchte Version – siehe zitierte Message aus der Mailingliste – dein Thread reduziert sich also auf „heute habe ich ’n Update gemacht“
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1
Das wage ich mal zu bezweifeln, dass jedeR Debian-UserIn ein tägliches update macht.
Anyway, ich habe testing (also bookworm) und da gibt es noch kein 2.15.
Deshalb hab' ich mir die 2.15er version händisch aus sid/unstable geholt.
Anyway, ich habe testing (also bookworm) und da gibt es noch kein 2.15.
Deshalb hab' ich mir die 2.15er version händisch aus sid/unstable geholt.
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1
Darauf sollte sich der Smiley bezogen haben – hätte ich besser positionieren sollen.dufty2 hat geschrieben:12.12.2021 21:31:32Das wage ich mal zu bezweifeln, dass jedeR Debian-UserIn ein tägliches update macht.
Was Testing angeht: wer das produktiv fährt, sollte es als gegeben ansehen, dass er sich drum zu kümmern hat.
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1
Dazu mal eine Frage:
Unter Debian Buster zeigt mir
nur "liblog4j2-java_2.11.1-2_all.deb", also Version 2.11 an.
liefert
Dabei sollte laut https://packages.debian.org/source/buster/apache-log4j2 die Version 2.15 doch auch für Buster bereits verfügbar sein. Woran kann das liegen?
Unter Debian Buster zeigt mir
Code: Alles auswählen
apt update
apt-cache show liblog4j2-java
Code: Alles auswählen
apt changelog liblog4j2-java
Code: Alles auswählen
Err:1 https://metadata.ftp-master.debian.org apache-log4j2 2.15.0-1~deb10u1 Changelog
Changelog unavailable for apache-log4j2=2.15.0-1~deb10u1 (404 Not Found [IP: 151.101.14.132 443])
E: Failed to fetch https://metadata.ftp-master.debian.org/changelogs/main/a/apache-log4j2/apache-log4j2_2.15.0-1~deb10u1_changelog Changelog unavailable for apache-log4j2=2.15.0-1~deb10u1 (404 Not Found [IP: 151.101.14.132 443])
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1
Fehlendes Repo? Wie sieht deine sources.list aus?
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1
Etwas übersichtlicher siehst du die (für dich, mit deiner sources.list) verfügbaren Versionen mit
Code: Alles auswählen
apt policy liblog4j2-java
PS: Willkommen im Forum.
Manchmal bekannt als Just (another) Terminal Hacker.
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1
Danke für den Tip, dabei wird dann auch die 2.15 angezeigt. Und nach dem Update funktioniert auch "apt changelog" korrekt.
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1
Hi!
Also bei mir in testing wird auch noch Version 2.13 angezeigt (nach Update).
Meine sources.list sieht so aus:
Fehlt da was?
Liebe Grüße
Andreas
Also bei mir in testing wird auch noch Version 2.13 angezeigt (nach Update).
Meine sources.list sieht so aus:
Code: Alles auswählen
deb http://deb.debian.org/debian/ testing main non-free contrib
deb http://security.debian.org/debian-security testing-security main contrib non-free
Liebe Grüße
Andreas
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1
Nein, das ist alles richtig. Allerdings ist testing-security etwas … Augenwischerei. Wenn ich mich richtig erinnere, ist das nämlich immer leer – es gibt in Wirklichkeit keinen Security-Support für Testing.
Das testing-security gibt es nur, damit man jetzt schon so was schreiben kann
Code: Alles auswählen
deb http://security.debian.org/debian-security bookworm-security main
Das ist möglich. Wahrscheinlich trudelt das Update ganz normal, mit etwas Verzögerung, über Sid ein. Dort gibt es zumindest schon eine 2.15.0.NetFoxy hat geschrieben:13.12.2021 21:50:20Also bei mir in testing wird auch noch Version 2.13 angezeigt (nach Update).
Das passt dann zu dem, was niemand und dufty2 geschrieben haben:
niemand hat geschrieben:12.12.2021 21:55:18Was Testing angeht: wer das produktiv fährt, sollte es als gegeben ansehen, dass er sich drum zu kümmern hat.
dufty2 hat geschrieben:12.12.2021 21:31:32Deshalb hab' ich mir die 2.15er version händisch aus sid/unstable geholt.
Manchmal bekannt als Just (another) Terminal Hacker.
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1
Etwas übersichtlicher siehst du die (für dich, mit deiner sources.list) verfügbaren Versionen mit
Code: Alles auswählen
apt policy liblog4j2-java
Hallo, ich bin auch neu hier.
Noobfrage: Bedeutet die Ausgabe auf das Kommando "apt policy liblog4j2-java"
liblog4j2-java:
Installiert: (keine)
Installationskandidat: 2.7-2 #( hier kamen an verschieden Systemen verschiedene Versionen)
Versionstabelle:
2.7-2 500
500 http://ftp.fau.de/debian stretch/main amd64 Packages
"installiert: (keine)" dass ein System wenigstens von der Log4j-Lücke Lücke nicht betroffen ist?
Gruß
Thomas
- Livingston
- Beiträge: 1426
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1
Ja, aktuell verwendest Du es nicht, es muss also auch nicht gepatcht werden.ThomasWe hat geschrieben:14.12.2021 11:53:33Noobfrage: Bedeutet die Ausgabe auf das Kommando "apt policy liblog4j2-java"
liblog4j2-java:
Installiert: (keine)
Installationskandidat: 2.7-2 #( hier kamen an verschieden Systemen verschiedene Versionen)
...
"installiert: (keine)" dass ein System wenigstens von der Log4j-Lücke Lücke nicht betroffen ist?
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1
Ja, jetzt ist die 2.15 auch im testing vorhanden. Das ist der Nachteil von testing, dass man gewöhnlich 1 Woche warten muss, bis das Paket aus sid eingetrudelt ist.JTH hat geschrieben:14.12.2021 00:23:55Das ist möglich. Wahrscheinlich trudelt das Update ganz normal, mit etwas Verzögerung, über Sid ein. Dort gibt es zumindest schon eine 2.15.0.NetFoxy hat geschrieben:13.12.2021 21:50:20Also bei mir in testing wird auch noch Version 2.13 angezeigt (nach Update).
Das passt dann zu dem, was niemand und dufty2 geschrieben haben:niemand hat geschrieben:12.12.2021 21:55:18Was Testing angeht: wer das produktiv fährt, sollte es als gegeben ansehen, dass er sich drum zu kümmern hat.dufty2 hat geschrieben:12.12.2021 21:31:32Deshalb hab' ich mir die 2.15er version händisch aus sid/unstable geholt.
Unter https://wiki.debian.org/DebianTesting ist eine "Best practices for Testing users" mittels pinning und debsecan.
Re: liblog4j2-java (2.13.3-1) -> 2.15.0-1 -> 2.17.0-1
Update:
Nachdem es zwischenzeitlich eine 2.16.0-1 gab,
gibt es seit gestern bereits eine 2.17.0-1, da immer noch Fehler gefunden wurden.
Langsam könnte man über unstable nachdenken ...
Nachdem es zwischenzeitlich eine 2.16.0-1 gab,
gibt es seit gestern bereits eine 2.17.0-1, da immer noch Fehler gefunden wurden.
Langsam könnte man über unstable nachdenken ...
Code: Alles auswählen
apache-log4j2 (2.17.0-1) unstable; urgency=high
* Team upload.
* New upstream version 2.17.0.
- Fix CVE-2021-45105:
Apache Log4j2 did not protect from uncontrolled recursion from
self-referential lookups. When the logging configuration uses a
non-default Pattern Layout with a Context Lookup (for example,
$${ctx:loginId}), attackers with control over Thread Context Map (MDC)
input data can craft malicious input data that contains a recursive
lookup, resulting in a denial of service. (Closes: #1001891)
Thanks to Salvatore Bonaccorso for the report.
-- Markus Koschany <apo@debian.org> Sat, 18 Dec 2021 17:09:22 +0100
apache-log4j2 (2.16.0-1) unstable; urgency=high
* Team upload.
* New upstream version 2.16.0.
- Fix CVE-2021-45046:
It was found that the fix to address CVE-2021-44228 in Apache Log4j
2.15.0 was incomplete in certain non-default configurations. This could
allow attackers with control over Thread Context Map (MDC) input data
when the logging configuration uses a non-default Pattern Layout with
either a Context Lookup (for example, $${ctx:loginId}) or a Thread
Context Map pattern (%X, %mdc, or %MDC) to craft malicious input data
using a JNDI Lookup pattern resulting in a denial of service (DOS)
attack.
Thanks to Salvatore Bonaccorso for the report. (Closes: #1001729)
-- Markus Koschany <apo@debian.org> Wed, 15 Dec 2021 02:38:06 +0100
apache-log4j2 (2.15.0-1) unstable; urgency=high
* Team upload.
* New upstream version 2.15.0.
- Fix CVE-2021-44228:
Chen Zhaojun of Alibaba Cloud Security Team discovered that JNDI features
used in configuration, log messages, and parameters do not protect
against attacker controlled LDAP and other JNDI related endpoints. An
attacker who can control log messages or log message parameters can
execute arbitrary code loaded from LDAP servers when message lookup
substitution is enabled. From version 2.15.0, this behavior has been
disabled by default. (Closes: #1001478)
* Update debian/watch to track the latest releases.
* Declare compliance with Debian Policy 4.6.0.
-- Markus Koschany <apo@debian.org> Sat, 11 Dec 2021 15:01:57 +0100