Pour gérer vos consentements :
Categories: Sécurité

[MAJ] Log4Shell : quels correctifs faut-il installer ?

Finalement, n’installez pas Log4j 2.15. Tel est désormais le message de la fondation Apache. Initialement, elle recommandait, au contraire, de passer sur cette version, pour juguler la faille CVE-2021-44228, dite Log4Shell.

Pourquoi ce revirement ? Parce que Log4j 2.15 abrite au moins une autre faille. Identifiée CVE-2021-45046, elle est moins critique (score de base : 3,7 sur l’échelle CVSS). Mais peut tout de même, sur certaines configurations personnalisées, entraîner un déni de service. En local uniquement, sauf si on a explicitement autorisé les lookups LDAP au-delà de ce périmètre.

Que conseille maintenant la fondation Apache ? Trois solutions :

  • Pour les utilisateurs de Java 7, installer Log4j 2.12.2. L’accès à l’API JNDI y est désactivé par défaut. Et un seul protocole (java) est activé en standard.
  • Pour les utilisateurs de Java 8 et éditions ultérieures, passer à Log4j 2.16.0. Le protocole LDAP y reste activé par défaut, mais avec un accès limite aux objets Java. Et seul l’hôte local est autorisé en standard.
  • À défaut de mise à jour, appliquer la méthode de contournement consistant à retirer la classe JndiLookup du classpath zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.

La fondation Apache n’a pas encore confirmé l’existence d’une autre vulnérabilité que des chercheurs disent avoir détectée dans Log4j 2.15. Pas de détails techniques, mais une affirmation : il existe, dans certaines circonstances, un risque d’exfiltration de données. La vidéo ci-dessous l’illustre.

Photo d’illustration © monsitj – Adobe Stock

Recent Posts

Guardia Cybersecurity School prépare sa rentrée avec CGI

Guardia CS, nouvel acteur sur le marché de la formation cyber post-bac en France, ajoute…

3 heures ago

Apple répond à l’épisode Pegasus avec un « mode isolement »

Apple intègre à la bêta d'iOS un « mode isolement » optionnel qui restreint les…

4 heures ago

IBM acquiert Databand.ai : de la data quality à l’observabilité des données ?

Data quality ou « observabilité des données » ? IBM préfère le second terme pour…

6 heures ago

Cybersécurité : la Cnil met les collectivités face à leurs responsabilités

La Cnil adresse une forme de rappel à l'ordre aux collectivités territoriales en matière de…

8 heures ago

Bug Bounty : le Pentagone s’offre (encore) les services de hackers

Six ans après son premier bug bounty, le Département de la défense des Etats-Unis lance…

22 heures ago

Typosquatting de dépendances : gare à cette pratique résiduelle

Des chercheurs attirent l'attention sur une campagne de diffusion de code malveillant par l'intermédiaire de…

1 jour ago