vendredi 17 décembre 2021
Plusieurs médias ont signalé la découverte de la vulnérabilité critique CVE-2021-44228 dans la bibliothèque Log4j développée par Apache, avec un score CVSS de 10 sur 10. Des millions d’applications Java utilisent cette bibliothèque pour enregistrer les messages d’erreur. Pire encore, les cybercriminels utilisent déjà activement cette faille de sécurité. Ainsi, l’Apache Foundation recommande aux développeurs de mettre à jour la bibliothèque et d’installer la version 2.15.0 et, si cela s’avère impossible, d’utiliser une des méthodes décrites sur la page Apache Log4j Security Vulnerabilities.
La vulnérabilité CVE-2021-44228, aussi connue comme Log4Shell ou LogJam, appartient à la catégorie d’exécution de code à distance. Elle est facilement exploitable et c’est pour cela qu’elle est aussi dangereuse. Des preuves de concept (PoC) d’attaques qui exploitent la faille CVE-2021-44228 sont d’ores et déjà disponibles sur Internet.
Apache Log4j fait partie du projet Apache Logging. De manière générale, cette bibliothèque est une des méthodes les plus faciles pour enregistrer les erreurs et c’est pourquoi la plupart des développeurs Java l’utilisent.
Presque toutes les versions de Log4j sont vulnérables, de 2.0-beta9 à 2.14.1. Pour une protection simple et efficace, vous devez installer la version la plus récente de la bibliothèque : 2.15.0. Vous pouvez la télécharger depuis la page du projet.
Nous vous conseillons d’installer des solutions de sécurité sur vos serveurs puisqu’elles vous permettront, dans la plupart des cas, de détecter le lancement d’un code malveillant et d’interrompre le développement d’une attaque.
Lire l’intégralité de l’article :
Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Cette bibliothèque est très souvent utilisée dans les projets de développement d’application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE.
Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification.
Des preuves de concept ont déjà été publiées. Cette vulnérabilité fait désormais l’objet d’une exploitation active.
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
Visits: 13
Plusieurs médias ont signalé la découverte de la vulnérabilité critique CVE-2021-44228 dans la bibliothèque Log4j développée par Apache, avec un score CVSS de 10 sur 10. Des millions d’applications Java utilisent cette bibliothèque pour enregistrer les messages d’erreur. Pire encore, les cybercriminels utilisent déjà activement cette faille de sécurité. Ainsi, l’Apache Foundation recommande aux développeurs de mettre à jour la bibliothèque et d’installer la version 2.15.0 et, si cela s’avère impossible, d’utiliser une des méthodes décrites sur la page Apache Log4j Security Vulnerabilities.
La vulnérabilité CVE-2021-44228, aussi connue comme Log4Shell ou LogJam, appartient à la catégorie d’exécution de code à distance. Elle est facilement exploitable et c’est pour cela qu’elle est aussi dangereuse. Des preuves de concept (PoC) d’attaques qui exploitent la faille CVE-2021-44228 sont d’ores et déjà disponibles sur Internet.
Apache Log4j fait partie du projet Apache Logging. De manière générale, cette bibliothèque est une des méthodes les plus faciles pour enregistrer les erreurs et c’est pourquoi la plupart des développeurs Java l’utilisent.
Presque toutes les versions de Log4j sont vulnérables, de 2.0-beta9 à 2.14.1. Pour une protection simple et efficace, vous devez installer la version la plus récente de la bibliothèque : 2.15.0. Vous pouvez la télécharger depuis la page du projet.
Nous vous conseillons d’installer des solutions de sécurité sur vos serveurs puisqu’elles vous permettront, dans la plupart des cas, de détecter le lancement d’un code malveillant et d’interrompre le développement d’une attaque.
Lire l’intégralité de l’article :
Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Cette bibliothèque est très souvent utilisée dans les projets de développement d’application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE.
Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification.
Des preuves de concept ont déjà été publiées. Cette vulnérabilité fait désormais l’objet d’une exploitation active.
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
Visits: 13
Plusieurs médias ont signalé la découverte de la vulnérabilité critique CVE-2021-44228 dans la bibliothèque Log4j développée par Apache, avec un score CVSS de 10 sur 10. Des millions d’applications Java utilisent cette bibliothèque pour enregistrer les messages d’erreur. Pire encore, les cybercriminels utilisent déjà activement cette faille de sécurité. Ainsi, l’Apache Foundation recommande aux développeurs de mettre à jour la bibliothèque et d’installer la version 2.15.0 et, si cela s’avère impossible, d’utiliser une des méthodes décrites sur la page Apache Log4j Security Vulnerabilities.
La vulnérabilité CVE-2021-44228, aussi connue comme Log4Shell ou LogJam, appartient à la catégorie d’exécution de code à distance. Elle est facilement exploitable et c’est pour cela qu’elle est aussi dangereuse. Des preuves de concept (PoC) d’attaques qui exploitent la faille CVE-2021-44228 sont d’ores et déjà disponibles sur Internet.
Apache Log4j fait partie du projet Apache Logging. De manière générale, cette bibliothèque est une des méthodes les plus faciles pour enregistrer les erreurs et c’est pourquoi la plupart des développeurs Java l’utilisent.
Presque toutes les versions de Log4j sont vulnérables, de 2.0-beta9 à 2.14.1. Pour une protection simple et efficace, vous devez installer la version la plus récente de la bibliothèque : 2.15.0. Vous pouvez la télécharger depuis la page du projet.
Nous vous conseillons d’installer des solutions de sécurité sur vos serveurs puisqu’elles vous permettront, dans la plupart des cas, de détecter le lancement d’un code malveillant et d’interrompre le développement d’une attaque.
Lire l’intégralité de l’article :
Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Cette bibliothèque est très souvent utilisée dans les projets de développement d’application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE.
Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification.
Des preuves de concept ont déjà été publiées. Cette vulnérabilité fait désormais l’objet d’une exploitation active.
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
Visits: 13