Vulnérabilité critique dans Apache Log4j
Date de publication :
Une vulnérabilité critique a été découverte dans Apache Log4j, un utilitaire de journalisation. Elle peut permettre à un attaquant de provoquer une exécution de code arbitraire à distance.
CVE-2019-17571 [Score CVSS v3 : 9.8] : La classe SocketServer incluse dans Apache Log4j est vulnérable à une désérialisation de données non fiables. Un attaquant peut exploiter cette vulnérabilité en envoyant un événement de journal spécialement conçu afin de pouvoir exécuter du code arbitraire à distance.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire à distance
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Des preuves de concept sont disponibles publiquement
Composants vulnérables
- Apache Log4j versions 1.2.x jusqu’à 1.2.17 inclus
CVE
- CVE-2019-17571
Solutions ou recommandations
Mise en place de correctifs de sécurité
Apache Log4j 1 n’est plus soutenu, il est donc fortement conseillé de passer sur Apache Log4j 2
Solution de contournement
Aucune solution de contournement n’est disponible