Néanmoins, un correctif Log4j supplémentaire élimine un nouveau bug d’exécution de code distant

Apache a néanmoins dévoilé un correctif différent pour le désormais tristement célèbre utilitaire Log4j, qui résout une nouvelle vulnérabilité d’exécution de code à distance.

L’utilitaire de journalisation a été au centre de l’intérêt de la communauté locale de la cybersécurité pendant une bonne partie du mois de décembre, peu de temps après qu’une vulnérabilité importante a été découverte qui a permis à des acteurs malveillants disposant d’informations incroyablement limitées d’exécuter des scripts à distance.

Ce trou béant a déjà été corrigé, mais le nouveau modèle de bûcheron est venu avec ses propres défauts, mais pas aussi dangereux que l’original. Peu de temps après la correction de cette vulnérabilité, un autre problème a été détecté.

Avec Log4j version 2.17.1., la vulnérabilité la plus récente (suivie comme CVE-2021-44832), a maintenant été montée. Tous les acheteurs ont été invités à donner la priorité à la mise à jour.

Un correctif Log4j supplémentaire

La dernière vulnérabilité est classée comme une faille d’exécution de code distante, résultant du manque de contrôles supplémentaires sur l’accès JDNI dans Log4j. Comme BipOrdinateur critiques, la faille est classée « modérée » en gravité et a reçu une note de 6,6/10 selon la méthode de notation des vulnérabilités fréquentes (CVSS).

« JDBC Appender doit utiliser JndiManager pour accéder à JNDI. L’accès JNDI devrait vraiment être géré au moyen d’une résidence système », décrit la description de la faille.

« Similaire à CVE-2021-44832 lorsqu’un attaquant autorisé à modifier le fichier de configuration de journalisation peut créer une configuration malveillante à l’aide d’un appender JDBC avec une source d’informations référençant un URI JNDI qui peut exécuter du code à distance. »

La vulnérabilité unique Log4j, suivie sous le nom CVE-2021-44228, a reçu le surnom Log4Shell. Il a permis aux escrocs d’exploiter presque n’importe quel code à distance et, à condition que l’utilisation populaire de Log4j, soit rapidement devenu un cauchemar pour les entreprises et les sociétés d’administration gouvernantes du monde entier.

Jen Easterly, directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), l’a expliqué comme “l’un des défauts les plus graves” qu’elle ait vu dans sa vocation complète, “sinon le plus grave”.

Vous voudrez peut-être aussi tester notre liste des remèdes antivirus les plus efficaces à ce jour

Via BleepingOrdinateur