AccueilSécuritéNouveaux problèmes - Le patch Log4j ne suffit pas

Nouveaux problèmes – Le patch Log4j ne suffit pas

Les développeurs Apache ont comblé dans la version 2.16.0 de Log4j une autre faille de sécurité qui était restée ouverte après la première tentative de correction de la vulnérabilité Log4Shell dans la version 2.15.0. Le correctif était incomplet, ce qui aurait permis à des attaquants de paralyser le logiciel par une faille de déni de service avec certaines options de journalisation.

Les programmeurs d’Apache expliquent que la faille est apparue avec une configuration de journalisation dont la disposition des motifs contient une recherche de contexte (de la forme $${ctx:loginId}) ou un motif Thread Context Map (par exemple les options %X, %mdc ou %MDC) pourrait se produire. Les attaquants pourraient alors provoquer un déni de service avec des données manipulées qu’ils enverraient au serveur vulnérable (CVE-2021-45046, CVSS 3.7, faible).

Sommaire

Les développeurs soulignent que la mesure de contournement proposée, telle que la définition de l’option log4j2.noFormatMsgLookup à true ne corrige pas cette erreur. La suppression de la classe de recherche JNDI, par exemple via zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class permet toutefois de remédier à la faille si une mise à jour n’est pas encore possible.

Les administrateurs et les responsables de la sécurité doivent de toute urgence détecter et mettre à jour les bibliothèques Log4j vulnérables. De plus en plus d’entreprises de sécurité informatique signalent des analyses approfondies de la vulnérabilité ainsi que son exploitation active par des cybergangs. Ceux qui ont déjà effectué une mise à jour vers Log4j 2.15.0 devraient être protégés contre la vague d’attaques qui s’annonce. Après tout, la nouvelle faille ne permet plus d’introduire et d’exécuter du code. Néanmoins, il ne faut pas remettre la mise à jour vers Log4j 2.16.0 à plus tard.

heise Security fournit des conseils utiles sur la manière de protéger votre entreprise contre les attaques Log4Shell : Le webinaire en direct « Die Log4j-Lücken – der Praxis-Ratgeber für Admins » (La faille Log4j – le guide pratique pour les administrateurs), qui se tiendra le lundi de la semaine prochaine, 20 décembre 2021, à 11h00, donnera un aperçu, une liste de contrôle et des recommandations utiles pour la pratique.

Lire aussi

Plus d'articles