Mise à jour de la vulnérabilité de l'utilitaire de journalisation Log4j d'Apache
Date de publication :
CVE-2019-17571 [Score CVSS v3.1: 9.8]
Une mise à jour de la vulnérabilité a été découverte concernant le module Log4J d’Apache.
Certaines librairies Java permettent de transformer un objet en un flux d’octets et vice-versa. Ces processus sont appelés sérialisation et désérialisation. Il est souvent pratique de sérialiser des objets pour la communication ou de les enregistrer pour une utilisation ultérieure. Cependant, les données ou le code désérialisé peuvent souvent être modifiés sans utiliser les fonctions d'accès fournies s'il n'utilise pas la cryptographie pour se protéger. Dans le cas présent, une faille a été découverte dans Log4j, où une classe SocketServer vulnérable peut conduire à la désérialisation de données non fiables. Cette faille permet à un attaquant d'exécuter à distance du code arbitraire lorsqu'il est associé à un outil (gadget) de désérialisation.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Compromission du service
- Exécution de code à distance
Criticité
- Score CVSS v3.1: 9.8
CVE
Composants vulnérables.
Les versions vulnérables sont les suivantes :
- Les versions d’Apache Log4j versions de 1.2 à 1.2.17 sont vulnérables.
Solutions ou recommandations
Il est recommandé d’effectuer la mise à jour suivante selon les versions :
Actuellement, cette vulnérabilité a été corrigée dans Apache Log4j 2.8.2. Il est conseillé aux utilisateurs concernés de mettre à jour la version 2.8.2 ou une version ultérieure pour se protéger.