-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 - --- ../../english/security/2021/dsa-5022.wml 2021-12-16 22:50:30.225141922 +0500 +++ 2021/dsa-5022.wml 2021-12-16 22:57:03.741030121 +0500 @@ -1,31 +1,30 @@ - -<define-tag description>security update</define-tag> +#use wml::debian::translation-check translation="9c44c7905cd7bbe6df67ff227e8eaec739c984bb" mindelta="1" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности</define-tag> <define-tag moreinfo> - -<p>It was found that the fix to address <a +<p>Было обнаружено, что исправление уязвимости <a href="https://security-tracker.debian.org/tracker/CVE-2021-44228">\ - -CVE-2021-44228</a> in Apache Log4j, a Logging Framework for Java, was - -incomplete in certain non-default configurations. This could allow - -attackers with control over Thread Context Map (MDC) input data when - -the logging configuration uses a non-default Pattern Layout with - -either a Context Lookup (for example, $${ctx:loginId}) or a Thread - -Context Map pattern (%X, %mdc, or %MDC) to craft malicious input data - -using a JNDI Lookup pattern resulting in a denial of service (DOS) - -attack.</p> - - - -<p>For the oldstable distribution (buster), this problem has been fixed - -in version 2.16.0-1~deb10u1.</p> +CVE-2021-44228</a> в Apache Log4j, платформе ведения журнала для Java, +неполно для некоторых настроек, отличающихся от настроек по умолчанию. Это может позволить +злоумышленникам, управляющим входными данными карты контекстов потоков (MDC), если +в настройках ведения журнала используется разметка шаблона не по умолчанию либо с +поиском контекста (например, $${ctx:loginId}), либо шаблон карты контекстов потоков (%X, %mdc или %MDC), +формировать вредоносные входные данные, используя шаблон поиска JNDI, приводящие к +отказу в обслуживании (DOS).</p> + +<p>В предыдущем стабильном выпуске (buster) эта проблема была исправлена +в версии 2.16.0-1~deb10u1.</p> - -<p>For the stable distribution (bullseye), this problem has been fixed in - -version 2.16.0-1~deb11u1.</p> +<p>В стабильном выпуске (bullseye) эта проблема была исправлена в +версии 2.16.0-1~deb11u1.</p> - -<p>We recommend that you upgrade your apache-log4j2 packages.</p> +<p>Рекомендуется обновить пакеты apache-log4j2.</p> - -<p>For the detailed security status of apache-log4j2 please refer to - -its security tracker page at: +<p>С подробным статусом поддержки безопасности apache-log4j2 можно ознакомиться на +соответствующей странице отслеживания безопасности по адресу <a href="https://security-tracker.debian.org/tracker/apache-log4j2">\ https://security-tracker.debian.org/tracker/apache-log4j2</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2021/dsa-5022.data" - -# $Id: $ -----BEGIN PGP SIGNATURE-----
iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAmG7fjcACgkQXudu4gIW 0qUnJBAAp1W7Rumm1TkRHzcjyPkwoowoda0+DAaXvh6kA4oqvl2dRnUe1RIe6Vot yTb5zJgOvOUb5nS2OxFZ2tBuF2+5XswOPdaRbIS+dmDEF90WGGtBzbwjjLmuPcZN GCbHktv0++iG/RScErfmu4mQRkayi3vhlZcrQjiOlbnVIdoR6N2zgOXSw8HKA7cs V8f4SwxvuhX7+UaYhcvpirDFRHVdWUDPA543LXLZj2xcwUtsNzI4AYIEW2xtNpOZ z4cJDdh74Kj7L5nof9xZgX59I3o3VNYjV7UGxWbBpcYtNF+wva+58FLaObQ7XVQi ic62HNxlAv4kN5mpcAT3XG3PkxvVFwF44WfFAZtlcrxBh4kP1jOjiW/LvyPF/NCG MRxm53XHoAPbdSIHNJ3bvuo/XiIvee3igChOxhfKHShkBL0V/19cVhzlNAJLyOs4 /JHhhhBsmtdvd5bYnYHNGgmJovdOtc+u9Jq3pro1wL+ocs0hfSpO5MD+mh0W63/+ 9G/4UVkzD/FQD9tufBRzShWzRIMM3iUcVprtHJBvD6lGeOhIy8pVTaYJUtXE3IXH dK43gh6y/e9Vjh9OrZQDnxGauHdsjRzfgVp8f3VER98zC2Jyl52/nzaJTxYZxcgo qjBmTgrEFY0fAFrl63i6HdXR9NdDMB4Y/PxG02Fxnp52CFPz79A= =MVfM -----END PGP SIGNATURE-----