liblog4j2-java security buster

[mat6937]

liblog4j2-java/oldstable,now 2.17.0-1~deb10u1 all [Installiert,automatisch]

Wie ist jetzt die Ausgabe von:

Code: Alles auswählen

apt-cache policy liblog4j2-java

?

[speefak]

Bullseye:

Code: Alles auswählen

apt-cache policy liblog4j2-java
liblog4j2-java:
  Installiert:           (keine)
  Installationskandidat: 2.15.0-1~deb11u1
  Versionstabelle:
     2.15.0-1~deb11u1 500
        500 http://security.debian.org/debian-security bullseye-security/main amd64 Packages
     2.13.3-1 500
        500 http://ftp.de.debian.org/debian bullseye/main amd64 Packages

Buster:

Code: Alles auswählen

apt-cache policy liblog4j2-java
liblog4j2-java:
  Installiert:           2.17.0-1~deb10u1
  Installationskandidat: 2.17.0-1~deb10u1
  Versionstabelle:
 *** 2.17.0-1~deb10u1 500
        500 http://deb.debian.org/debian-security buster/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     2.11.1-2 500
        500 http://deb.debian.org/debian buster/main amd64 Packages

Einmal ein update von 2.11 auf 2.17 und einmal von 2.13 auf 2.15. Kann man irgendwo nachsehen wann die libs aktualisiert wurden ? Auf allen System laufen unatended-updates und security-backports und updates sources sind auch aktiv.

[mat6937]

Bullseye:

Code: Alles auswählen

apt-cache policy liblog4j2-java
liblog4j2-java:
  Installiert:           (keine)
  Installationskandidat: 2.15.0-1~deb11u1

Buster:

Code: Alles auswählen

apt-cache policy liblog4j2-java
liblog4j2-java:
  Installiert:           2.17.0-1~deb10u1
  Installationskandidat: 2.17.0-1~deb10u1

Einmal ein update von 2.11 auf 2.17 und einmal von 2.13 auf 2.15.

Hast Du beim Buster liblog4j2-java manuell installiert oder ist das als Abhängigkeit von einem anderen package installiert worden? Beim Bullseye musst dir ja keine Gedanken machen, weil es ja nicht installiert ist bzw. nicht benötigt wird und somit stellt sich die Frage der Unsicherheit gar nicht.

Kann man irgendwo nachsehen wann die libs aktualisiert wurden ?

Beim Buster in den Log-Dateien, im Verzeichnis "/var/log/apt".

[speefak]

ich habe die libjava4j einfach mal per remove deinstalliert um zu sehen wie die Abhängikeiten sind und siehe da, Mediathekview sollte auch deinstalliert werden. Ich gehe davon aus, dass es Mediathekview was für die libjava4j Installation verantwortlich ist.

[mat6937]

ich habe die libjava4j einfach mal per remove deinstalliert um zu sehen wie die Abhängikeiten sind und siehe da, ...

Ja, stimmt. BTW: Es geht auch mit "apt show", d. h. ohne zu deinstallieren:

:~ $ apt show mediathekview | grep -i depends

WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

Depends: default-jre (>= 2:1.9) | java9-runtime, java-wrappers (>= 0.3), libjide-oss-java (>= 3.7.4), libopenjfx-java (>= 11), libcommons-compress-java, libcommons-configuration2-java, libcommons-dbcp2-java, libcommons-lang3-java, libcommons-pool2-java, libcontrolsfx-java, libguava-java, libh2-java, libjackson2-core-java, libjchart2d-java, libjiconfont-font-awesome-java, libjiconfont-java, libjiconfont-swing-java, liblog4j2-java, libmbassador-java, libmiglayout-java, libokhttp-java, libswingx-java, libxz-java

EDIT:

... oder mit reverse depends:

Code: Alles auswählen

:~ $ apt-cache rdepends liblog4j2-java
liblog4j2-java
Reverse Depends:
 |jabref
  mediathekview
  libnetty-java
  libjodd-java
  libbiojava4.0-java
  libbarclay-java
  jabref

[speefak]

Stimmt - aber die beiden o.g. Befehle haben einen Nachteil : Es werden alle Abhängigkeiten angezeigt, auch automatisch installierte. Ein einfacher apt remove Versuch ( Abbruch nach Userrequest ) zeigt in dem 2ten Absatz direkt die nicht automatisch installierten Pakete an :

Code: Alles auswählen

remove liblog4j2-java
[sudo] Passwort für speefak: 
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.       
Statusinformationen werden eingelesen.... Fertig
Die folgenden Pakete wurden automatisch installiert und werden nicht mehr benötigt:
  flvstreamer java-wrappers libapache-pom-java libatinject-jsr330-api-java libcommons-codec-java libcommons-compress-java
  libcommons-configuration2-java libcommons-dbcp2-java libcommons-io-java libcommons-lang3-java libcommons-logging-java
  libcommons-parent-java libcommons-pool2-java libcontrolsfx-java libgoogle-gson-java libguava-java libh2-java
  libhttpclient-java libhttpcore-java libjackson2-core-java libjchart2d-java libjiconfont-font-awesome-java libjiconfont-java
  libjiconfont-swing-java libjide-oss-java libjsr305-java liblightcouch-java libmbassador-java libmiglayout-java libmongodb-java
  libokhttp-java libokio-java libopenjfx-java libopenjfx-jni libslf4j-java libswingx-java libxmlgraphics-commons-java libxz-java
Verwenden Sie »sudo apt autoremove«, um sie zu entfernen.
Die folgenden Pakete werden ENTFERNT:
  liblog4j2-java[b] mediathekview[/b]
0 aktualisiert, 0 neu installiert, 2 zu entfernen und 1 nicht aktualisiert.
Nach dieser Operation werden 4.421 kB Plattenplatz freigegeben.
Möchten Sie fortfahren? [J/n] n
Abbruch.

in dem o.g. Fall ist das noch übersichtlich, es kann aber auch schon mal ein ganze Sack an Paketen bei einer apt Abfrage dabei rauskommen. Aber gut zu wissen das es auch detaillierter geht wenn nötig

Wenn ich das richtig verstanden hab: Da beide javalib Versionen über 2.14 liegen ist er Exploid somit nicht mehr möglich, weder unter Buster noch unter Bullseye ?

[eggy]

Wenn ich das richtig verstanden hab: Da beide javalib Versionen über 2.14 liegen ist er Exploid somit nicht mehr möglich, weder unter Buster noch unter Bullseye ?

"über 2.14" ist nicht das Kritierium, auch in 2.15 und 2.16 wurden Probleme gefunden

https://logging.apache.org/log4j/2.x/security.html
https://security-tracker.debian.org/tra ... che-log4j2

[mat6937]

Da beide javalib Versionen über 2.14 liegen ist er Exploid somit nicht mehr möglich, weder unter Buster noch unter Bullseye ?

Nein, sicher ist nur Buster, denn die Version muss z. Zt. 2.17 sein und nicht kleiner.

[speefak]

Scheinbar gabs heute updates für Bullseye :

Code: Alles auswählen

apt-cache policy liblog4j2-java
liblog4j2-java:
  Installiert:           (keine)
  Installationskandidat: 2.17.0-1~deb11u1
  Versionstabelle:
     2.17.0-1~deb11u1 500
        500 http://security.debian.org/debian-security bullseye-security/main amd64 Packages
     2.16.0-1~deb11u1 500
        500 http://ftp.de.debian.org/debian bullseye/main amd64 Packages