Finalement, n’installez pas Log4j 2.15. Tel est désormais le message de la fondation Apache. Initialement, elle recommandait, au contraire, de passer sur cette version, pour juguler la faille CVE-2021-44228, dite Log4Shell.
Pourquoi ce revirement ? Parce que Log4j 2.15 abrite au moins une autre faille. Identifiée CVE-2021-45046, elle est moins critique (score de base : 3,7 sur l’échelle CVSS). Mais peut tout de même, sur certaines configurations personnalisées, entraîner un déni de service. En local uniquement, sauf si on a explicitement autorisé les lookups LDAP au-delà de ce périmètre.
Que conseille maintenant la fondation Apache ? Trois solutions :
La fondation Apache n’a pas encore confirmé l’existence d’une autre vulnérabilité que des chercheurs disent avoir détectée dans Log4j 2.15. Pas de détails techniques, mais une affirmation : il existe, dans certaines circonstances, un risque d’exfiltration de données. La vidéo ci-dessous l’illustre.
Photo d’illustration © monsitj – Adobe Stock
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…
Le Premier ministre a précisé les usages de l'IA dans les services de l'administration et…
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…