Apache a publié un autre correctif pour le désormais tristement célèbre utilitaire Log4j, qui corrige une nouvelle vulnérabilité d’exécution de code à distance.
L’utilitaire de journalisation a été au centre de l’attention de la communauté de la cybersécurité pendant une grande partie du mois de décembre, après la découverte d’une vulnérabilité majeure qui a permis à des acteurs malveillants aux connaissances très limitées d’exécuter des scripts à distance.
Ce trou béant a depuis été corrigé, mais la nouvelle version de l’enregistreur présentait ses propres défauts, bien que pas aussi dangereux que l’original. Peu de temps après la correction de cette vulnérabilité, un autre problème a été découvert.
Avec Log4j version 2.17.1., la dernière vulnérabilité (suivie comme CVE-2021-44832), a maintenant été corrigée. Tous les utilisateurs ont été invités à donner la priorité à la mise à jour.
Un autre patch Log4j
La dernière vulnérabilité est classée comme une faille d’exécution de code à distance, résultant du manque de contrôles supplémentaires sur l’accès JDNI dans Log4j. Comme BipOrdinateur rapports, la faille est classée « modérée » en gravité et a reçu une note de 6,6/10 selon le Common Vulnerability Scoring System (CVSS).
« JDBC Appender doit utiliser JndiManager pour accéder à JNDI. L’accès JNDI doit être contrôlé via une propriété système », explique la description de la faille.
« Lié à CVE-2021-44832 où un attaquant autorisé à modifier le fichier de configuration de journalisation peut construire une configuration malveillante à l’aide d’un appender JDBC avec une source de données référençant un URI JNDI qui peut exécuter du code à distance. »
La vulnérabilité Log4j d’origine, suivie sous le nom CVE-2021-44228, a reçu le surnom de Log4Shell. Il a permis aux escrocs d’exécuter pratiquement n’importe quel code à distance et, compte tenu de l’utilisation généralisée de Log4j, est rapidement devenu un cauchemar pour les entreprises et les organisations gouvernementales du monde entier.
Jen Easterly, directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), l’a décrit comme « l’un des défauts les plus graves » qu’elle ait vu dans toute sa carrière, « sinon le plus grave ».
- Vous pouvez également consulter notre liste des meilleures solutions antivirus disponibles aujourd’hui.
Via BleepingOrdinateur