CVE-2021-44228 – log4j - rapport de vulnérabilité
(unit42.paloaltonetworks.com)Une vulnérabilité a été signalée dans log4j, le framework de logging de Java.
-
Versions affectées : 2.0 à 2.14.1
-
Version corrigée >= 2.15.0-rc1
-
Il est recommandé d’appliquer un correctif à tous les systèmes utilisant la bibliothèque Apache log4j
-
Principaux éléments affectés
-
Apache Struts
-
Apache Solr
-
Apache Druid
-
Apache Flink
-
ElasticSearch
-
Flume
-
Apache Dubbo
-
Logstash
-
Kafka
-
Spring-Boot-starter-log4j2
-
7 commentaires
Ah, log4j est une fonction de logging ?
Rien qu’au nom, je pensais que c’était le log en base 4 en maths.
Il s’agit d’un bug qui permet une exécution de code à distance (RCE) lorsqu’un contenu contenant une chaîne spécifique est enregistré dans les logs.
Par ailleurs, il semble que certains se servent aussi de cette faille de sécurité pour transformer des serveurs Minecraft en serveurs Doom. Rip and Tear!
https://twitter.com/gegy1000/status/1469714451716882434
Hahaha, ils ont même porté Doom jusque sur des serveurs Minecraft…
L’étendue des systèmes concernés étant énorme, certains médias coréens font du racolage avec des titres du genre « la pire vulnérabilité jamais découverte dans l’histoire de l’informatique »...
Parmi les produits concernés, il y en a beaucoup dont le nom seul suffit à les reconnaître, donc l’étendue de l’impact semble considérable.
La méthode pour reproduire la vulnérabilité est décrite dans l’article ci-dessous.
[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit
https://pcmag.com/news/…
Dans le cas de SpringBoot, il est recommandé de suivre le lien ci-dessous.
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
maven
gradle
ext['log4j2.version'] = '2.15.0'