Log4j 2.17.1 maintenant disponible avec plus de correctifs de vulnérabilité Log4Shell

La Fondation Apache déploie la quatrième mise à jour de Log4j en un mois, qui corrige davantage de vulnérabilités de sécurité potentielles.

Plus tôt ce mois-ci, une vulnérabilité de sécurité découverte dans le populaire package de journalisation basé sur Java "Log4j" est devenu un problème majeur pour d’innombrables entreprises et produits technologiques. Minecraft, Steam, Apple iCloud et d'autres applications et services ont dû accélérer les mises à jour avec une version corrigée, mais les problèmes de Log4j n'ont pas encore été complètement résolus. Une autre mise à jour est en cours de déploiement, qui vise à résoudre un autre problème de sécurité potentiel.

Publication de l'Apache Software Foundation version 2.17.1 de Log4j le lundi (via Ordinateur qui bipe), qui corrige principalement une faille de sécurité étiquetée comme CVE-2021-44832. La vulnérabilité pourrait potentiellement permettre l'exécution de code à distance (RCE) à l'aide de JDBC Appender si l'attaquant est capable de contrôler le fichier de configuration de journalisation Log4j. Le problème a reçu une note de gravité « Modérée », inférieure à la vulnérabilité qui a tout déclenché –

CVE-2021-44228, qui est classé « Critique ». Yaniv Nizry, chercheur en sécurité chez Checkmarx revendiqué le mérite d'avoir découvert la vulnérabilité et le signaler à l'Apache Software Foundation.

Apache a écrit dans la description de la vulnérabilité: "Apache Log4j2 versions 2.0-beta7 à 2.17.0 (à l'exclusion des versions 2.3.2 et 2.12.4 des correctifs de sécurité) sont vulnérables à une attaque d'exécution de code à distance (RCE) où un attaquant avec l'autorisation de modifier le fichier de configuration de journalisation peut construire une configuration malveillante à l'aide d'un appender JDBC avec une source de données référençant un URI JNDI qui peut exécuter à distance code. Ce problème est résolu en limitant les noms de sources de données JNDI au protocole Java dans les versions Log4j2 2.17.1, 2.12.4 et 2.3.2."

L'exploit Log4j original, également connu sous le nom de « Log4Shell », permettait l'exécution de code malveillant sur de nombreux serveurs ou applications utilisant Log4j pour l'enregistrement des données. Matthew Prince, PDG de Cloudflare, a déclaré que l'exploit était utilisé dès le 1er décembre, plus d'une semaine avant qu'il ne soit publiquement identifié, et selon Le Washington Post, Google a chargé plus de 500 ingénieurs d'analyser le code de l'entreprise pour s'assurer que rien n'était vulnérable. Cette vulnérabilité est loin d'être aussi grave, car un attaquant doit encore pouvoir modifier un fichier de configuration appartenant à Log4j. S'ils peuvent le faire, il est probable que vous ayez de toute façon de plus gros problèmes entre vos mains.

Cette dernière version devrait être le dernier correctif permanent pour l'exploit d'origine, que de nombreuses entreprises ont déjà corrigé elles-mêmes. Cependant, nous avons également vu un certain nombre d'autres mises à jour depuis la première pour combler des failles découvertes plus tard. Avec un peu de chance, cela devrait enfin être la fin de la saga Log4Shell.