AccueilActualités informatiqueGoogle : OSS-Fuzz devrait trouver des erreurs Log4j dans les logiciels open...

Google : OSS-Fuzz devrait trouver des erreurs Log4j dans les logiciels open source

Le projet « OSS-Fuzz » de Google visant à tester les logiciels open source est désormais à l’affût du bug de la bibliothèque Java Log4j. La faille de la bibliothèque de journalisation des erreurs de Java est actuellement vulnérable et le restera probablement jusqu’à ce que les systèmes concernés soient corrigés. La faille zero-day découverte il y a un peu plus d’une semaine est répertoriée comme CVE 2021-44228 et a été partiellement corrigée la semaine dernière avec la version 2.15.0 de Log4j publiée par la fondation Apache.

OSS-Fuzz est un service gratuit lancé en 2016 pour tester les projets open source à l’aide du fuzzing – une méthode qui consiste à alimenter le logiciel à tester avec des données d’entrée volontairement ou aléatoirement erronées. Cela permet de détecter des erreurs qui pourraient passer inaperçues, comme des dépassements de mémoire tampon, et qui pourraient entraîner des plantages. OSS-Fuzz est actuellement utilisé par plus de 500 projets open source critiques, comme l’indique Google dans son blog sur la sécurité.

Sommaire

Dans le cadre d’un partenariat annoncé en mars avec l’entreprise allemande Code Intelligence, spécialisée dans le Fuzz Testing, Google teste une intégration de Jazzer dans OSS-Fuzz. Le fuzzing est ainsi également possible via des applications JVM (Java Virtual Machine) pour détecter des vulnérabilités. Dans ce contexte, Code Intelligence a amélioré son moteur de fuzzing Jazzer afin qu’il puisse détecter les lookups JNDI à distance.

OSS-Fuzz et Jazzer trouvent la faille Log4Shell

(Image : Google)

« Des vulnérabilités comme Log4Shell ouvrent les yeux de l’industrie sur de nouvelles possibilités d’attaques. Avec OSS-Fuzz et Jazzer, nous pouvons désormais détecter ce type de vulnérabilités afin qu’elles puissent être corrigées avant qu’elles ne deviennent un problème dans le code de production », explique Jonathan Metzman de l’équipe de sécurité Open Source de Google.

L’année dernière, Google a déclaré avoir investi plus de dix milliards de dollars dans des mesures de cybersécurité et avoir soutenu à hauteur de 100 millions de dollars des fournisseurs tiers qui s’occupent de la correction des vulnérabilités.

Lire aussi

Les développeurs Apache énumèrent en outre dans un message de sécurité les étapes possibles pour sécuriser les serveurs. Les informations fournies par Log4j sont mises à jour quotidiennement, la dernière fois le 17 décembre.

Plus d'articles