Apache révèle un autre bogue Log4j, donc corrigez maintenant

Apache n’a pas l’impression de faire une pause avec l’utilitaire de journalisation dépendant de Java Log4j, car une troisième vulnérabilité principale a maintenant été découverte.

Vendredi, l’Apache Computer Software Foundation (ASF) a publié une annonce décrivant qu’une faille récemment découverte avait été corrigée. La société a également exhorté toutes les personnes à mettre à jour rapidement la version la plus récente de l’enregistreur.

En bref, la faille est une erreur de récursivité infinie, entraînant un problème de DoS sur le serveur concerné. Voici comment l’ASF décrit le problème :

« Apache Log4j2 versions 2.-alpha1 via 2.16. n’a pas protégé contre la récursivité incontrôlée des recherches auto-référentielles. Lorsque la configuration de la journalisation tire parti d’un format d’échantillon autre que celui par défaut avec une recherche de contexte (par exemple, $$ctx:loginId), les attaquants ayant un contrôle supérieur à la connaissance d’entrée de Thread Context Map (MDC) peuvent créer des données d’entrée destructrices. jusqu’à une recherche récursive, résultant en une StackOverflowError qui mettra fin à la méthode. Ceci est également connu comme une agression DOS (Denial of Services).

Le modèle le plus récent de Log4j (2.17.) peut être observé sur ce lien de site Web, et il est suggéré aux consommateurs de le configurer là où ils font fonctionner Log4j. Ceux qui ne sont pas en mesure de réparer leurs gadgets peuvent également déployer une personne de ces solutions de contournement momentanées :

Dans PatternLayout dans la configuration de la journalisation, remplacez les recherches de contexte comme $ctx:loginIdor $$ctx:loginId par des styles de mappe de contexte de thread (%X, %mdc ou %MDC). Dans la configuration, supprimez les références aux recherches de contexte telles que $ctx:loginId ou $$ctx:loginId où elles proviennent de ressources externes à l’application telles que les en-têtes HTTP ou la saisie de personne.

Menace la plus importante depuis des années

L’utilitaire Log4j a été au cœur d’une tempête médiatique au cours des deux dernières semaines, juste après la découverte d’une faille importante qui a mis des millions de terminaux à risque de vol de faits.

Les 7 derniers jours, Jen Easterly, directrice de l’US Cybersecurity and Infrastructure Stability Company (CISA) l’a décrit comme “l’un des défauts les plus graves” qu’elle ait vu dans l’ensemble de sa profession, “sinon le plus grave”.

“Nous prévoyons que la vulnérabilité sera couramment exploitée par des acteurs complexes et nous avons peu de temps pour choisir les actions essentielles afin de réduire la probabilité de préjudice”, a expliqué Easterly.

Il est suivi comme CVE-2021-44228 et permet aux acteurs destructeurs d’exploiter presque n’importe quel code. Les compétences requises pour tirer parti de la faille sont assez faibles, ont averti les experts du secteur, exhortant tout le monde à corriger Log4j aussi rapidement que possible.

La faille est en train de devenir par rapport au problème de 2017 qui a conduit au piratage d’Equifax, qui a observé les informations privées de près de 150 millions de personnes exposées.

Cette vulnérabilité d’origine a été prédéfinie dans Log4j édition 2.15.

Par le biais du Registre