Apache n’arrive pas à faire une pause avec l’utilitaire de journalisation basé sur Java Log4j, car une troisième vulnérabilité majeure a maintenant été découverte.
Vendredi, l’Apache Software Foundation (ASF) a publié une annonce expliquant qu’une faille récemment découverte avait été corrigée. L’organisation a également exhorté tous les utilisateurs à mettre à jour immédiatement la dernière version de l’enregistreur.
En bref, la faille est une erreur de récursivité infinie, entraînant une condition DoS sur le serveur affecté. Voici comment l’ASF décrit le problème :
« Apache Log4j2 versions 2.0-alpha1 à 2.16.0 n’a pas protégé contre la récursivité incontrôlée des recherches auto-référentielles. Lorsque la configuration de la journalisation utilise une disposition de modèle autre que celle par défaut avec une recherche de contexte (par exemple, $$ctx:loginId), les attaquants contrôlant les données d’entrée de Thread Context Map (MDC) peuvent créer des données d’entrée malveillantes contenant une recherche récursive. , ce qui entraîne une StackOverflowError qui mettra fin au processus. Ceci est également connu sous le nom d’attaque DOS (Denial of Service).
La dernière version de Log4j (2.17.0) est disponible sur ce lien, et il est conseillé aux utilisateurs de l’installer partout où Log4j est en cours d’exécution. Ceux qui ne parviennent pas à réparer leurs appareils peuvent également déployer l’une de ces solutions de contournement temporaires :
- Dans PatternLayout dans la configuration de la journalisation, remplacez les recherches de contexte comme $ctx:loginId ou $$ctx:loginId par des modèles de mappe de contexte de thread (%X, %mdc ou %MDC).
- Dans la configuration, supprimez les références aux recherches contextuelles telles que $ctx:loginId ou $$ctx:loginId lorsqu’elles proviennent de sources externes à l’application telles que les en-têtes HTTP ou les entrées utilisateur.
La plus grande menace depuis des années
L’utilitaire Log4j a été au centre d’une tempête médiatique au cours des deux dernières semaines, après la découverte d’une faille majeure qui a mis des millions de terminaux en danger de vol de données.
La semaine dernière, Jen Easterly, directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) l’a décrit comme « l’un des défauts les plus graves » qu’elle ait vu dans toute sa carrière, « sinon le plus grave ».
« Nous nous attendons à ce que la vulnérabilité soit largement exploitée par des acteurs sophistiqués et nous avons peu de temps pour prendre les mesures nécessaires afin de réduire la probabilité de dommages », a expliqué Easterly.
Il est suivi comme CVE-2021-44228 et permet aux acteurs malveillants d’exécuter pratiquement n’importe quel code. Les compétences requises pour tirer parti de la faille sont très faibles, ont averti les experts, exhortant tout le monde à patcher Log4j aussi vite que possible.
La faille est comparée au problème de 2017 qui a conduit au piratage d’Equifax, qui a vu les données personnelles de près de 150 millions de personnes exposées.
Cette vulnérabilité d’origine a été corrigée dans Log4j version 2.15.
Via le registre