Apache lance cinquième mise à jour de sécurité pour une nouvelle vulnérabilité Log4j

L’Apache Software Foundation a encore du fil à retordre avec Log4Shell. Une nouvelle mise à jour de sécurité a été publiée pour neutraliser une nouvelle vulnérabilité.

Log4j 2.17.1 est la cinquième mise à jour qu’Apache publie ce mois-ci. Début décembre, une grave vulnérabilité de type « zero-day » a été découverte dans la très populaire bibliothèque de journalisation Apache Log4j. Depuis lors, toutes les têtes sont tournées vers Apache Software Foundation. Elle a indiqué avoir découvert un bogue à trois reprises en une semaine et demie.

En attendant, nous avons déjà atteint la cinquième mise à jour de sécurité. Cette fois-ci, une vulnérabilité a été découverte dans Log4j 2.17.0 qui permet aux personnes autorisées de modifier le fichier de configuration de la journalisation. Cela rend possible l’exécution d’un code externe.

Note de vulnérabilité de 6,6 sur 10

Même si cela peut sembler très grave, la vulnérabilité est moins importante que les vulnérabilités précédentes. Le piratage ne peut avoir lieu que si l’attaquant est autorisé à modifier le fichier de configuration. La vulnérabilité reçoit tout de même une note de 6,6 sur 10, ce qui indique immédiatement la gravité des vulnérabilités précédentes.

Selon Apache, la nouvelle mise à jour de sécurité doit être installée par les utilisateurs de Java 8. Les utilisateurs de Java 7 doivent effectuer une mise à jour vers log4j 2.12.4 et log4j 2.3.2 pour Java 6.

lire aussi

Qu’est-ce que Log4Shell et pourquoi ce bogue est-il si dangereux ?

newsletter

Abonnez-vous gratuitement à ITdaily !

Category(Required)
This field is for validation purposes and should be left unchanged.