Vulnérabilité dans Log4j d’Apache

Risques

• Déni de service

Criticité

• Score CVSS v3.1: 7.5

La faille est activement exploitée

• Non

Un correctif existe

• Oui

Une mesure de contournement existe

• Non

Les vulnérabilités exploitées sont du type

• CWE-835 : Loop with Unreachable Exit Condition (“Infinite Loop”)

Détails sur l’exploitation

• Vecteur d’attaque : Réseau
• Complexité de l’attaque : Faible
• Privilèges nécessaires pour réaliser l’attaque : Non
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Composants vulnérables.

Les versions suivantes sont concernées :

• Apache Log4j 2.8.1
• Apache Log4j 2.13.1
• Apache Log4j 2.14.0
• Apache Log4j 2.14.1
• Apache Log4j 2.15.0
• Apache Log4j 2.0-beta9
• Apache Log4j 2.12.1
• Apache Log4j 2.13.0
• Apache Log4j 2.16.0
• Apache Log4j2 version 2.-alpha1 jusqu’à2.16.0

• Mettre à jour vers Log4j 2.3.1 (pour Java 6), 2.12.3 (pour Java 7) ou 2.17.0 (pour Java 8 et versions ultérieures)
•  
• Appliquer la mise à jour vers la version 2.17.0, ou une version plus récente de Log4j d’Apache.
   
• Il est possible de changer la configuration pour Log4j 2.x afin d’atténuer l’impact de la vulnérabilité, celle-ci est disponible ici : https://logging.apache.org/log4j/2.x/security.html