CVE-2021-44228 – log4j - rapport de vulnérabilité

 (unit42.paloaltonetworks.com)
12 points par tkwlsrl 2021-12-11 | 7 commentaires | Partager sur WhatsApp
<p>Une vulnérabilité a été signalée dans log4j, le framework de logging de Java.<br /> <br /> - Versions affectées : 2.0 à 2.14.1<br /> - Version corrigée &gt;= 2.15.0-rc1<br /> - Il est recommandé d’appliquer un correctif à tous les systèmes utilisant la bibliothèque Apache log4j<br /> <br /> - Principaux éléments affectés<br /> * Apache Struts<br /> * Apache Solr<br /> * Apache Druid<br /> * Apache Flink<br /> * ElasticSearch<br /> * Flume<br /> * Apache Dubbo<br /> * Logstash<br /> * Kafka<br /> * Spring-Boot-starter-log4j2</p>

À lire aussi

7 commentaires

 
v08zbv8fvlkjasdflkj 2021-12-13
<p>Ah, log4j est une fonction de logging ?<br /> <br /> Rien qu’au nom, je pensais que c’était le log en base 4 en maths.</p>
 
xguru 2021-12-11
<p>Il s’agit d’un bug qui permet une exécution de code à distance (RCE) lorsqu’un contenu contenant une chaîne spécifique est enregistré dans les logs.</p>
 
kunggom 2021-12-13
<p>Par ailleurs, il semble que certains se servent aussi de cette faille de sécurité pour transformer des serveurs Minecraft en serveurs Doom. Rip and Tear!<br /> https://twitter.com/gegy1000/status/1469714451716882434</p>;
 
budlebee 2021-12-13
<p>Hahaha, ils ont même porté Doom jusque sur des serveurs Minecraft…</p>
 
xguru 2021-12-11
<p>L’étendue des systèmes concernés étant énorme, certains médias coréens font du racolage avec des titres du genre « la pire vulnérabilité jamais découverte dans l’histoire de l’informatique »...</p>
 
kunggom 2021-12-11
<p>Parmi les produits concernés, il y en a beaucoup dont le nom seul suffit à les reconnaître, donc l’étendue de l’impact semble considérable.<br /> La méthode pour reproduire la vulnérabilité est décrite dans l’article ci-dessous.<br /> <br /> [PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit<br /> https://pcmag.com/news/…;
 
tkwlsrl 2021-12-11
<p>Dans le cas de SpringBoot, il est recommandé de suivre le lien ci-dessous.<br /> https://spring.io/blog/2021/… /> <br /> maven<br /> &lt;properties&gt;<br /> &lt;log4j2.version&gt;2.15.0&lt;/log4j2.version&gt;<br /> &lt;/properties&gt;<br /> <br /> gradle<br /> ext['log4j2.version'] = '2.15.0'</p>