Vulnérabilité dans Log4j d’Apache
Date de publication :
CVE-2021-4104[Score CVSS v3.1: 8.1]
Cette vulnérabilité, de type « exécution de code arbitraire », concerne Log4jd’Apache. Il s'agit d'une vulnérabilité située au niveau du processus de désérialisation. La sérialisation consiste à convertir une structure de données exportable en série d'octets à des fins de stockage ou de transport. La désérialisation est le processus inverse. Lorsqu’un utilisateur configure Log4j pour le support de JMSAppender, il est possible d’intégrer des octets malveillants dans le processus de désérialisation si celui-ci n’est pas protégé. Lorsque les bits malveillants sont convertis en données pour être traités, ils permettent l’exécution de code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire distant
Criticité
- Score CVSS v3.1: 8.1
La faille est activement exploitée
- Non
Un correctif existe
- Oui
Une mesure de contournement existe
- Non
Les vulnérabilités exploitées sont du type
- CWE-20: Improper Input Validation
Détails sur l’exploitation
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Aucun
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
- Les versions antérieures à 2.15.0 de Log4j.
Solutions ou recommandations
- Effectue la mise à jour vers la version 2.15.0 ou une version plus récente de Log4j.
- Il existe trois procédures pour atténuer les risques d’exploitation, elles sont détaillées ici : https://access.redhat.com/security/cve/CVE-2021-4104