Vulnérabilités dans Chainsaw et JMSSink d’Apache log4J

Date de publication :

Ces deux vulnérabilités concernent un problème de type « désérialisation de données non sécurisée ». La sérialisation consiste à convertir une structure de données exportable en série de bits à des fins de stockage ou de transport. La désérialisation est le processus inverse. Un attaquant peut intégrer des bits malveillants dans le processus de désérialisation si celui-ci n’est pas protégé. Lorsque les bits malveillants sont convertis en données pour la programmation, ils permettent l’exécution de code arbitraire.

 

CVE-2022-23307[Score CVSS v3.1: 9.8]

Pour cette première vulnérabilité, le problème de désérialisation non sécurisée est localisé dans l’outil logiciel Chainsaw du système de journalisation Apache Log4J. Il est possible d’utiliser des requêtes malveillantes pour compromettre cet outil. L’exploitation de cette vulnérabilité par un attaquant distant et non authentifié permet l’exécution de code arbitraire sur le système.

 

CVE-2022-23302[Score CVSS v3.1: 8.8]

Pour cette seconde vulnérabilité, le problème de désérialisation non sécurisée est localisé dans le gestionnaire d’évènements JMSSink du système de journalisation Apache Log4J. Il est possible d’utiliser des requêtes malveillantes pour compromettre le gestionnaire. L’exploitation de cette vulnérabilité par un attaquant distant et authentifié permet l’exécution de code arbitraire sur le système.

 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire

Criticité

  • Score CVSS v3.1: 9.8 max

La faille est activement exploitée

  • Non

Un correctif existe

  • Oui

Une mesure de contournement existe

  • Non

Les vulnérabilités exploitées sont du type    

  • CWE-502 : Deserialization of Untrusted Data

Détails sur l’exploitation

Pour la CVE-2022-23307 :

  • Vecteur d’attaque : Réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Aucun
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

 

Pour la CVE-2022-23302 :

  • Vecteur d’attaque : Réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

 

Composants vulnérables.

Pour la CVE-2022-23307 :

  • Apache Chainsaw 2.0.0
  • Apache Log4j 1.2

Pour la CVE-2022-23302 :

  • Apache Log4j 1.2

 

 

Solutions ou recommandations

Pour la CVE-2022-23307 :

  • Effectuer la mise à jour Apache Log4J vers la version 2.0 ou toutes autres versions plus récentes.
  • Effectuer la mise à jour Apache Chainsaw vers la version 2.1.0 ou toutes autres versions plus récentes.

 

Pour la CVE-2022-23302 :

  • Effectuer la mise à jour Apache Log4J vers la version 2.0 ou toutes autres versions plus récentes.

 

Liens