Un nouveau correctif pour Log4j permet de détecter un nouveau bug d'exécution de code à distance

Mesures de sécurité
(Crédit photo: Shutterstock)

Apache a publié un nouveau correctif pour le désormais célèbre utilitaire Log4j, qui corrige une nouvelle vulnérabilité d'exécution de code à distance.

L'utilitaire de journalisation a été au centre de l'attention de la communauté de la cybersécurité pendant une grande partie du mois de décembre, après la découverte d'une vulnérabilité majeure qui permettait à des acteurs malveillants ayant des connaissances minimales d'exécuter des scripts à distance.

Cette faille béante a depuis été corrigée, mais la nouvelle version de l'enregistreur comportait ses propres failles, bien que moins dangereuses que l'originale. Peu après la correction de cette vulnérabilité, un autre problème a été découvert. 

Avec la version 2.17.1. de Log4j, la dernière vulnérabilité (connue sous le nom de CVE-2021-44832) a été corrigée. Tous les utilisateurs ont été invités à effectuer la mise à jour en priorité.

Un autre patch Log4j

La dernière vulnérabilité est classée comme une faille d'exécution de code à distance, provenant de l'absence de contrôles supplémentaires sur l'accès JDNI dans Log4j. Comme le rapporte BleepingComputer, la faille est classée "modérée" en termes de gravité et a reçu un score de 6,6/10 selon le Common Vulnerability Scoring System (CVSS). 

"JDBC Appender doit utiliser JndiManager lors de l'accès à JNDI. L'accès à JNDI doit être contrôlé via une propriété système", explique la description de la faille.

"Lié à CVE-2021-44832 où un attaquant ayant la permission de modifier le fichier de configuration de journalisation peut construire une configuration malveillante en utilisant un JDBC Appender avec une source de données référençant un URI JNDI qui peut exécuter du code à distance."

La vulnérabilité originale de Log4j, repérée sous le nom de CVE-2021-44228, a reçu le surnom de Log4Shell. Elle permettait aux escrocs d'exécuter pratiquement n'importe quel code à distance et, compte tenu de l'utilisation répandue de Log4j, elle est rapidement devenue un cauchemar pour les entreprises et les organisations gouvernementales du monde entier.

Jen Easterly, directrice de l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), l'a décrite comme "l'une des plus graves" failles qu'elle ait vues dans toute sa carrière, "si ce n'est la plus grave".

  • You might also want to check out our list of the best antivirus solutions around today

Via BleepingComputer

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.