12 points par tkwlsrl 2021-12-11 | 7 commentaires | Partager sur WhatsApp

Une vulnérabilité a été signalée dans log4j, le framework de logging de Java.

  • Versions affectées : 2.0 à 2.14.1

  • Version corrigée >= 2.15.0-rc1

  • Il est recommandé d’appliquer un correctif à tous les systèmes utilisant la bibliothèque Apache log4j

  • Principaux éléments affectés

    • Apache Struts

    • Apache Solr

    • Apache Druid

    • Apache Flink

    • ElasticSearch

    • Flume

    • Apache Dubbo

    • Logstash

    • Kafka

    • Spring-Boot-starter-log4j2

7 commentaires

 
v08zbv8fvlkjasdflkj 2021-12-13

Ah, log4j est une fonction de logging ?

Rien qu’au nom, je pensais que c’était le log en base 4 en maths.

 
xguru 2021-12-11

Il s’agit d’un bug qui permet une exécution de code à distance (RCE) lorsqu’un contenu contenant une chaîne spécifique est enregistré dans les logs.

 
kunggom 2021-12-13

Par ailleurs, il semble que certains se servent aussi de cette faille de sécurité pour transformer des serveurs Minecraft en serveurs Doom. Rip and Tear!

https://twitter.com/gegy1000/status/1469714451716882434

 
budlebee 2021-12-13

Hahaha, ils ont même porté Doom jusque sur des serveurs Minecraft…

 
xguru 2021-12-11

L’étendue des systèmes concernés étant énorme, certains médias coréens font du racolage avec des titres du genre « la pire vulnérabilité jamais découverte dans l’histoire de l’informatique »...

 
kunggom 2021-12-11

Parmi les produits concernés, il y en a beaucoup dont le nom seul suffit à les reconnaître, donc l’étendue de l’impact semble considérable.

La méthode pour reproduire la vulnérabilité est décrite dans l’article ci-dessous.

[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit

https://pcmag.com/news/…

 
tkwlsrl 2021-12-11

Dans le cas de SpringBoot, il est recommandé de suivre le lien ci-dessous.

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

maven

2.15.0

gradle

ext['log4j2.version'] = '2.15.0'