FreeBSD:serviio -- log4j の脆弱性の影響を受けます。(1ea05bb8-5d74-11ec-bb1e-001517a2e1a4)
critical Nessus プラグイン ID 156078
言語:
概要
リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。説明
リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、1ea05bb8-5d74-11ec-bb1e-001517a2e1a4のアドバイザリに記載されている脆弱性の影響を受けます。- 構成、ログメッセージ、およびパラメーターで使用される Apache Log4j2 <=2.14.1 JNDI 機能は、攻撃者が制御する LDAP およびその他の JNDI 関連のエンドポイントから保護しません。メッセージ検索置換が有効な場合、ログメッセージまたはログメッセージパラメーターを制御できる攻撃者が、LDAP サーバーからロードされた任意のコードを実行する可能性があります。log4j 2.15.0以降、この動作はデフォルトで無効になっています。以前のリリース (>2.10) では、システムプロパティ log4j2.formatMsgNoLookups を true に設定するか、リリース (<2.10) より前では、JndiLookup クラスをクラスパスから削除することで、この動作を緩和できます (例: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)。
(CVE-2021-44228)
Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受けるパッケージを更新してください。関連情報
プラグインの詳細
深刻度: Critical
ID: 156078
ファイル名: freebsd_pkg_1ea05bb85d7411ecbb1e001517a2e1a4.nasl
バージョン: 1.10
タイプ: local
公開日: 2021/12/15
更新日: 2023/2/17
リスク情報
VPR
リスクファクター: Critical
スコア: 10
CVSS v2
リスクファクター: High
Base Score: 9.3
Temporal Score: 8.1
ベクトル: AV:N/AC:M/Au:N/C:C/I:C/A:C
現状ベクトル: E:H/RL:OF/RC:C
CVSS スコアのソース: CVE-2021-44228
CVSS v3
リスクファクター: Critical
Base Score: 10
Temporal Score: 9.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
現状ベクトル: E:H/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:serviio, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2021/12/15
脆弱性公開日: 2021/12/10
CISAの既知の悪用日: 2021/12/24
エクスプロイト可能
CANVAS (CANVAS)
Core Impact
参照情報
CVE: CVE-2021-44228
IAVA: 2021-A-0573, 0001-A-0650
CEA-ID: CEA-2021-0052, CEA-2023-0004