Se descubrió que la clase SocketServer incluida en apache-log4j1.2, una biblioteca de escritura de logs para java, es vulnerable a reconstrucción de datos serializados no confiables. Un atacante puede aprovechar este defecto para ejecutar código arbitrario en el contexto de la aplicación de escritura en el log, mediante el envío de un evento de log preparado de una manera determinada.
Para la distribución «antigua estable» (stretch), este problema se ha corregido en la versión 1.2.17-7+deb9u1.
Para la distribución «estable» (buster), este problema se ha corregido en la versión 1.2.17-8+deb10u1.
Le recomendamos que actualice los paquetes de apache-log4j1.2.
Para información detallada sobre el estado de seguridad de apache-log4j1.2, consulte su página en el sistema de seguimiento de problemas de seguridad: \ https://security-tracker.debian.org/tracker/apache-log4j1.2