20, rue de la Michodière, 75002 Paris
01 43 18 19 40 Choix 1
support@infoclip.fr

Vulnérabilité dans Apache Log4j

Division Systèmes et Réseaux

Vulnérabilité dans Apache Log4j

Risque

Exécution d’un code malveillant sans autorisation préalable.

Versions affectées :

Apache Log4j versions 2.0 à 2.14.1

Apache Log4j versions 1.x (versions obsolètes) : La version 1 de log4j a été initialement déclarée vulnérable cependant la vulnérabilité n’existe que si le composant JMS Appender est configuré pour prendre en compte JNDI. Il s’agit donc d’une configuration très spécifique.


Résumé

Depuis quelques jours le monde de la sécurité informatique est en pleine effervescence. En effet, la dernière menace en date, Log4Shell (faille dans la librairie de log Apache Log4j) qui est utilisée dans de très nombreux package d’application Java/J2EE par des géants de l’internet (Apple, Steam, Minecraft, La Nasa, Oracle, Twitter et bien d’autres ) est d’une ampleur exceptionnelle.

Le score de sévérité CVSS (Common Vulnerability Scoring System) attribué à cet exploit est de 10/10 (critique).

Par ailleurs, la facilité de mise en œuvre de cette faille et les dégâts considérables qu’elle peut produire a motivé la mouvance cybercriminelle pour l’exploiter et celle-ci semble très active.


Documentation éditeur


Solution

 Préconisation du CERT-FR :

« Il est fortement recommandé aux utilisateurs d’applications ou de logiciels sur étagère basés sur la technologie Java/J2EE :

  • de filtrer et de journaliser les flux sortants des serveurs pour les limiter aux seuls flux autorisés vers des services de confiance.
  • de prendre contact avec le développeur ou l’éditeur pour vérifier s’ils sont exposés à cette vulnérabilité et si un correctif est disponible.

Il est fortement recommandé aux développeurs/éditeurs d’utiliser la version 2.15.0 ou ultérieure et de fournir une nouvelle version de leur logiciel dans les plus brefs délais.

Une nouvelle version 2.16.0 a été publiée le 13 décembre. Elle complète la correction en désactivant le JNDI et la fonction de Lookup, qui doivent désormais être explicitement activées.

Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation éditeur). »

Outils

Liens utiles

Mises à jour