liblog4j2-java (2.13.3-1) -> 2.15.0-1 -> 2.17.0-1

[dufty2]

Habe gerade auf meiner Testing-Kiste
liblog4j2-java (2.13.3-1) -> 2.15.0-1
manuellen upgrade gemacht.
Hintergrund:
https://github.com/Cybereason/Logout4Shell

[DeletedUserReAsG]

Habe gerade auf meiner Testing-Kiste
liblog4j2-java (2.13.3-1) -> 2.15.0-1
manuellen upgrade gemacht.

Ich hab grad Blender von 3.0.0-1 auf 3.0.0-2 geupdated – sollte ich da auch ’nen Thread aufmachen?

Package : apache-log4j2
CVE ID : CVE-2021-44228 CVE-2020-9488
Debian Bug : 959450 1001478

Chen Zhaojun of Alibaba Cloud Security Team discovered a critical security
vulnerability in Apache Log4j, a popular Logging Framework for Java. JNDI
features used in configuration, log messages, and parameters do not protect
against attacker controlled LDAP and other JNDI related endpoints. An attacker
who can control log messages or log message parameters can execute arbitrary
code loaded from LDAP servers when message lookup substitution is enabled. From
version 2.15.0, this behavior has been disabled by default.

This update also fixes CVE-2020-9488 in the oldstable distribution
(buster). Improper validation of certificate with host mismatch in Apache Log4j
SMTP appender. This could allow an SMTPS connection to be intercepted by a
man-in-the-middle attack which could leak any log messages sent through that
appender.

For the oldstable distribution (buster), this problem has been fixed
in version 2.15.0-1~deb10u1.

For the stable distribution (bullseye), this problem has been fixed in
version 2.15.0-1~deb11u1.

We recommend that you upgrade your apache-log4j2 packages.

For the detailed security status of apache-log4j2 please refer to
its security tracker page at:
https://security-tracker.debian.org/tra ... che-log4j2

[dufty2]

Habe gerade auf meiner Testing-Kiste
liblog4j2-java (2.13.3-1) -> 2.15.0-1
manuellen upgrade gemacht.

Ich hab grad Blender von 3.0.0-1 auf 3.0.0-2 geupdated – sollte ich da auch ’nen Thread aufmachen?

Das Teil hat severity rating 10.
Wie dem https://lwn.net/Articles/878390/#Comments zu entnehmen ist:
This already ruined the weekend for many folks in the industry (myself included).

[DeletedUserReAsG]

Da aber sowieso jeder täglich Updates macht, hat ja nun schon jeder die gepatchte Version – siehe zitierte Message aus der Mailingliste – dein Thread reduziert sich also auf „heute habe ich ’n Update gemacht“

[dufty2]

Das wage ich mal zu bezweifeln, dass jedeR Debian-UserIn ein tägliches update macht.
Anyway, ich habe testing (also bookworm) und da gibt es noch kein 2.15.
Deshalb hab' ich mir die 2.15er version händisch aus sid/unstable geholt.

[DeletedUserReAsG]

Das wage ich mal zu bezweifeln, dass jedeR Debian-UserIn ein tägliches update macht.

Darauf sollte sich der Smiley bezogen haben – hätte ich besser positionieren sollen.

Was Testing angeht: wer das produktiv fährt, sollte es als gegeben ansehen, dass er sich drum zu kümmern hat.

[Bridurgas]

Dazu mal eine Frage:

Unter Debian Buster zeigt mir

Code: Alles auswählen

apt update
apt-cache show liblog4j2-java

nur "liblog4j2-java_2.11.1-2_all.deb", also Version 2.11 an.

Code: Alles auswählen

apt changelog liblog4j2-java

liefert

Code: Alles auswählen

Err:1 https://metadata.ftp-master.debian.org apache-log4j2 2.15.0-1~deb10u1 Changelog
  Changelog unavailable for apache-log4j2=2.15.0-1~deb10u1 (404  Not Found [IP: 151.101.14.132 443])
E: Failed to fetch https://metadata.ftp-master.debian.org/changelogs/main/a/apache-log4j2/apache-log4j2_2.15.0-1~deb10u1_changelog  Changelog unavailable for apache-log4j2=2.15.0-1~deb10u1 (404  Not Found [IP: 151.101.14.132 443])

Dabei sollte laut https://packages.debian.org/source/buster/apache-log4j2 die Version 2.15 doch auch für Buster bereits verfügbar sein. Woran kann das liegen?

[Tintom]

Woran kann das liegen?

Fehlendes Repo? Wie sieht deine sources.list aus?

[JTH]

Code: Alles auswählen

apt-cache show liblog4j2-java

Etwas übersichtlicher siehst du die (für dich, mit deiner sources.list) verfügbaren Versionen mit

Code: Alles auswählen

apt policy liblog4j2-java

PS: Willkommen im Forum.

[Bridurgas]

Danke für den Tip, dabei wird dann auch die 2.15 angezeigt. Und nach dem Update funktioniert auch "apt changelog" korrekt.

[NetFoxy]

Hi!

Also bei mir in testing wird auch noch Version 2.13 angezeigt (nach Update).

Meine sources.list sieht so aus:

Code: Alles auswählen

deb http://deb.debian.org/debian/ testing main non-free contrib
deb http://security.debian.org/debian-security testing-security main contrib non-free

Fehlt da was?

Liebe Grüße
Andreas

[JTH]

Fehlt da was?

Nein, das ist alles richtig. Allerdings ist testing-security etwas … Augenwischerei. Wenn ich mich richtig erinnere, ist das nämlich immer leer – es gibt in Wirklichkeit keinen Security-Support für Testing.

Das testing-security gibt es nur, damit man jetzt schon so was schreiben kann

Code: Alles auswählen

deb http://security.debian.org/debian-security bookworm-security main

und die Zeile sofort funktioniert, sobald Bookworm fertig ist.

Also bei mir in testing wird auch noch Version 2.13 angezeigt (nach Update).

Das ist möglich. Wahrscheinlich trudelt das Update ganz normal, mit etwas Verzögerung, über Sid ein. Dort gibt es zumindest schon eine 2.15.0.

Das passt dann zu dem, was niemand und dufty2 geschrieben haben:

Was Testing angeht: wer das produktiv fährt, sollte es als gegeben ansehen, dass er sich drum zu kümmern hat.

Deshalb hab' ich mir die 2.15er version händisch aus sid/unstable geholt.

[ThomasWe]

Etwas übersichtlicher siehst du die (für dich, mit deiner sources.list) verfügbaren Versionen mit

Code: Alles auswählen

apt policy liblog4j2-java

[/quote]

Hallo, ich bin auch neu hier.

Noobfrage: Bedeutet die Ausgabe auf das Kommando "apt policy liblog4j2-java"

liblog4j2-java:
Installiert: (keine)
Installationskandidat: 2.7-2 #( hier kamen an verschieden Systemen verschiedene Versionen)
Versionstabelle:
2.7-2 500
500 http://ftp.fau.de/debian stretch/main amd64 Packages

"installiert: (keine)" dass ein System wenigstens von der Log4j-Lücke Lücke nicht betroffen ist?

Gruß
Thomas

[Livingston]

Noobfrage: Bedeutet die Ausgabe auf das Kommando "apt policy liblog4j2-java"

liblog4j2-java:
Installiert: (keine)
Installationskandidat: 2.7-2 #( hier kamen an verschieden Systemen verschiedene Versionen)
...
"installiert: (keine)" dass ein System wenigstens von der Log4j-Lücke Lücke nicht betroffen ist?

Ja, aktuell verwendest Du es nicht, es muss also auch nicht gepatcht werden.

[dufty2]

Also bei mir in testing wird auch noch Version 2.13 angezeigt (nach Update).

Das ist möglich. Wahrscheinlich trudelt das Update ganz normal, mit etwas Verzögerung, über Sid ein. Dort gibt es zumindest schon eine 2.15.0.

Das passt dann zu dem, was niemand und dufty2 geschrieben haben:

Was Testing angeht: wer das produktiv fährt, sollte es als gegeben ansehen, dass er sich drum zu kümmern hat.

Deshalb hab' ich mir die 2.15er version händisch aus sid/unstable geholt.

Ja, jetzt ist die 2.15 auch im testing vorhanden. Das ist der Nachteil von testing, dass man gewöhnlich 1 Woche warten muss, bis das Paket aus sid eingetrudelt ist.
Unter https://wiki.debian.org/DebianTesting ist eine "Best practices for Testing users" mittels pinning und debsecan.

[dufty2]

Update:
Nachdem es zwischenzeitlich eine 2.16.0-1 gab,
gibt es seit gestern bereits eine 2.17.0-1, da immer noch Fehler gefunden wurden.
Langsam könnte man über unstable nachdenken ...

Code: Alles auswählen

apache-log4j2 (2.17.0-1) unstable; urgency=high

  * Team upload.
  * New upstream version 2.17.0.
    - Fix CVE-2021-45105:
      Apache Log4j2 did not protect from uncontrolled recursion from
      self-referential lookups. When the logging configuration uses a
      non-default Pattern Layout with a Context Lookup (for example,
      $${ctx:loginId}), attackers with control over Thread Context Map (MDC)
      input data can craft malicious input data that contains a recursive
      lookup, resulting in a denial of service. (Closes: #1001891)
      Thanks to Salvatore Bonaccorso for the report.

 -- Markus Koschany <apo@debian.org>  Sat, 18 Dec 2021 17:09:22 +0100

apache-log4j2 (2.16.0-1) unstable; urgency=high

  * Team upload.
  * New upstream version 2.16.0.
    - Fix CVE-2021-45046:
      It was found that the fix to address CVE-2021-44228 in Apache Log4j
      2.15.0 was incomplete in certain non-default configurations. This could
      allow attackers with control over Thread Context Map (MDC) input data
      when the logging configuration uses a non-default Pattern Layout with
      either a Context Lookup (for example, $${ctx:loginId}) or a Thread
      Context Map pattern (%X, %mdc, or %MDC) to craft malicious input data
      using a JNDI Lookup pattern resulting in a denial of service (DOS)
      attack.
      Thanks to Salvatore Bonaccorso for the report. (Closes: #1001729)

 -- Markus Koschany <apo@debian.org>  Wed, 15 Dec 2021 02:38:06 +0100

apache-log4j2 (2.15.0-1) unstable; urgency=high

  * Team upload.
  * New upstream version 2.15.0.
    - Fix CVE-2021-44228:
      Chen Zhaojun of Alibaba Cloud Security Team discovered that JNDI features
      used in configuration, log messages, and parameters do not protect
      against attacker controlled LDAP and other JNDI related endpoints. An
      attacker who can control log messages or log message parameters can
      execute arbitrary code loaded from LDAP servers when message lookup
      substitution is enabled. From version 2.15.0, this behavior has been
      disabled by default. (Closes: #1001478)
  * Update debian/watch to track the latest releases.
  * Declare compliance with Debian Policy 4.6.0.

 -- Markus Koschany <apo@debian.org>  Sat, 11 Dec 2021 15:01:57 +0100