Vulnérabilité critique dans Apache Log4j

Une vulnérabilité critique a été découverte dans Apache Log4j, un utilitaire de journalisation. Elle peut permettre à un attaquant de provoquer une exécution de code arbitraire à distance.

CVE-2019-17571 [Score CVSS v3 : 9.8] : La classe SocketServer incluse dans Apache Log4j est vulnérable à une désérialisation de données non fiables. Un attaquant peut exploiter cette vulnérabilité en envoyant un événement de journal spécialement conçu afin de pouvoir exécuter du code arbitraire à distance. 

Informations
+

Risques

  • Exécution de code arbitraire à distance

Criticité

  • Score CVSS v3 : 9.8

Existence d’un code d’exploitation

  • Des preuves de concept sont disponibles publiquement

Composants vulnérables

  • Apache Log4j versions 1.2.x jusqu’à 1.2.17 inclus

CVE

  • CVE-2019-17571


Recommandations
+

Mise en place de correctifs de sécurité

  • Apache Log4j 1 n’est plus soutenu, il est donc fortement conseillé de passer sur Apache Log4j 2

Solution de contournement

  • Aucune solution de contournement n’est disponible