Vulnérabilité dans LOG4J d’Apache

Date de publication :

CVE-2021-45046[Score CVSS v3.1:  9.0]

Le correctif apporté pour la vulnérabilité CVE-2021-44228 concernant Log4j n’est pas suffisant, en particulier dans certaines configurations autres que celles par défaut.

Log4J propose un mécanisme de contextualisation des traces par le biais de NDC (Nested Diagnostic Context) et du MDC (Mapped Diagnostic Context). Ces 2 mécanismes se basent sur le même principe : on ajoute des informations, via des méthodes statiques.

Or dans le cas d’une configuration Log4j qui ne soit pas par défaut, un attaquant pouvant modifier le MDC peut intégrer des données malveillantes avec l’aide de la brique JNDI. Pour information, le JNDI est une API Java de connexion à des annuaires, notamment des annuaires LDAP

 

L’exploit permet de générer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de Service

Criticité

  • Score CVSS v3.1: 3.7  

La faille est activement exploitée

  • Oui

Un correctif existe

  • Oui

Une mesure de contournement existe

  • Oui

Les vulnérabilités exploitées sont du type

  • CWE-502 :Deserialization of Untrusted Data

Détails sur l’exploitation

Pour la vulnérabilité CVE-2021-45046

  • Vecteur d’attaque : Network
  • Complexité de l’attaque : Haute
  • Privilèges nécessaires pour réaliser l’attaque : Non
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Composants vulnérables.

Les versions Log4j d’Apache :

  • 2.8.1
  • 2.13.1
  • 2.14.0
  • 2.14.1
  • 2.15.0
  • 2.0-beta9
  • 2.12.1
  • 2.13.0

Les produits dépendants qui sont aussi concernés par cette vulnérabilité :

  • IBM WebSphere Application Server 7.0
  • IBM WebSphere Application Server 8.0
  • IBM WebSphere Application Server 8.5
  • IBM WebSphere Application Server 9.0
  • IBM WebSphere Application Server Liberty

Solutions ou recommandations

  • Effectuer la mise à jour 2.12.2 (Pour Java 7), ou 2.16.0 (pour Java 9 ou plus), ou une version plus récente de Log4j d’Apache.
     
  • Une solution de contournement existe, celle-ci est détaillée ici :
    https://www.kb.cert.org/vuls/id/930724

Liens