Debian DLA-2211-1：log4net 安全更新

high Nessus 插件 ID 136672

语言：

简介

远程 Debian 主机缺少安全更新。

描述

发现 ECMA 公共语言基础架构 (CLI)（有时称为“Mono”）的日志记录 API log4net 中存在一个 XML 外部实体漏洞。

当配置较弱的 XML 解析器处理包含面向 Internet 的实体所引用的 XML 输入时，此类攻击便会发生。
此攻击可能会造成机密数据泄露、拒绝服务、服务器端请求伪造，以及其他系统影响。

对于 Debian 8“Jessie”，已在 log4net 版本 1.2.10+dfsg-6+deb8u1 中修复此问题。

我们建议您升级 log4net 程序包。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

解决方案

升级受影响的程序包。

另见

https://lists.debian.org/debian-lts-announce/2020/05/msg00014.html

https://packages.debian.org/source/jessie/log4net

插件详情

严重性: High

ID: 136672

文件名: debian_DLA-2211.nasl

版本: 1.3

类型: local

代理: unix

系列: Debian Local Security Checks

发布时间: 2020/5/18

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:liblog4net-cil-dev, cpe:/o:debian:debian_linux:8.0, p-cpe:/a:debian:debian_linux:liblog4net1.2-cil

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

补丁发布日期: 2020/5/15

漏洞发布日期: 2020/5/15