L’Apache Software Foundation a encore du fil à retordre avec Log4Shell. Une nouvelle mise à jour de sécurité a été publiée pour neutraliser une nouvelle vulnérabilité.
Log4j 2.17.1 est la cinquième mise à jour qu’Apache publie ce mois-ci. Début décembre, une grave vulnérabilité de type « zero-day » a été découverte dans la très populaire bibliothèque de journalisation Apache Log4j. Depuis lors, toutes les têtes sont tournées vers Apache Software Foundation. Elle a indiqué avoir découvert un bogue à trois reprises en une semaine et demie.
En attendant, nous avons déjà atteint la cinquième mise à jour de sécurité. Cette fois-ci, une vulnérabilité a été découverte dans Log4j 2.17.0 qui permet aux personnes autorisées de modifier le fichier de configuration de la journalisation. Cela rend possible l’exécution d’un code externe.
Note de vulnérabilité de 6,6 sur 10
Même si cela peut sembler très grave, la vulnérabilité est moins importante que les vulnérabilités précédentes. Le piratage ne peut avoir lieu que si l’attaquant est autorisé à modifier le fichier de configuration. La vulnérabilité reçoit tout de même une note de 6,6 sur 10, ce qui indique immédiatement la gravité des vulnérabilités précédentes.
Selon Apache, la nouvelle mise à jour de sécurité doit être installée par les utilisateurs de Java 8. Les utilisateurs de Java 7 doivent effectuer une mise à jour vers log4j 2.12.4 et log4j 2.3.2 pour Java 6.
lire aussi