AccueilActualités informatiqueLog4j 2.16.0 améliore la protection contre la faille Log4Shell

Log4j 2.16.0 améliore la protection contre la faille Log4Shell

Après la version 2.15.0 publiée à la hâte vendredi dernier pour combler la faille de sécurité Log4Shell, les développeurs d’Apache ont maintenant terminé Log4j 2.16.0 et y ont amélioré les mesures de protection. D’autre part, les chercheurs en sécurité ont affiné le code de preuve de concept (PoC) pour l’exploitation de la faille – les attaques fonctionnent ainsi indépendamment de la version de Java et de certains paramètres de sécurité Java. Seule une mise à jour de la bibliothèque Log4j offre donc une protection fiable.

Dans Log4j 2.16.0, les programmeurs d’Apache ont supprimé le code qui analyse les messages dans les logs avec les entrées URL fatales vers des serveurs LDAP potentiellement malveillants. Pour ce faire, les développeurs désactivent désormais complètement la Java Naming and Directory Interface (JNDI). Les utilisateurs peuvent la réactiver manuellement, mais elle représente un risque de sécurité élevé dans un environnement non protégé, préviennent les développeurs d’Apache dans l’annonce de la version Log4j.

Sommaire

Vendredi dernier, la première version de l’avis de sécurité d’Apache relatif à cette faille comportait tout d’abord une référence à une version spécifique de Java qui empêcherait les attaques. Cette mention a été supprimée peu après. Il s’est avéré entre-temps qu’aucune version de Java ne peut protéger de manière fiable contre une attaque.

Le chercheur en sécurité Márcio Almeida a adapté un kit d’exploitation pour exploiter la faille Log4Shell, de sorte qu’il fonctionne avec n’importe quelle version de Java et que le paramètre trustURLCodebase=false n’est pas suffisant. Pour cela, il a simplement reconditionné les données malveillantes, le code malveillant, dans un autre format (sérialisation). La seule condition, selon lui, est que les classes utilisées par le code sérialisé introduit se trouvent dans le chemin de classe de l’application attaquée.

Almeida indique que seule la mise à jour de Log4j – et ce le plus rapidement possible – permet de lutter contre l’exploitation de la faille de sécurité Log4Shell. Il est donc logique de passer directement à la nouvelle version Log4j 2.16.0, encore mieux sécurisée. Il n’existe toutefois pas encore de données fiables sur les éventuels effets secondaires de la mise à jour.

« Que dois-je faire exactement maintenant ? » est la question centrale du webinaire de sécurité de heise « La faille Log4j – le guide pratique pour les administrateurs », le lundi 20 décembre à 11:00.

Lire aussi

Plus d'articles