Log4j : la vulnérabilité dont tout le monde parle

log4j

Vous avez sûrement déjà lu quelque chose ou vu quelque chose sur les réseaux sociaux. log4j Ce n'est pas une vulnérabilité en soi, mais c'est le nom d'une bibliothèque open source développée en Java (elle a également été écrite dans d'autres langages tels que Ruby, C, C++, Python, etc.) par l'Apache Software Foundation . Grâce à cela, les développeurs de logiciels peuvent implémenter des messages du journal des transactions au moment de l'exécution à différents niveaux d'importance.

La vulnérabilité CVE-2021-44228 qui a été récemment publié affecte Apache Log4j 2.x. La vulnérabilité a été appelée Log4Shell ou LogJam, et elle a été découverte le 9 décembre par un ingénieur en cybersécurité qui se fait appeler p0rz9 la mise en réseau. Cet expert a également publié un référentiel sur Github à propos de cette faille de sécurité.

Cette vulnérabilité de Log4j permet d'exploiter une validation d'entrée incorrecte vers LDAP, permettant exécution de code à distance (RCE), et compromettant le serveur (confidentialité, intégrité des données et disponibilité du système). De plus, le problème ou l'importance de cette vulnérabilité réside dans le nombre d'applications et de serveurs qui l'utilisent, y compris les logiciels d'entreprise et les services cloud tels qu'Apple iCloud, Steam, ou les jeux vidéo populaires tels que Minecraft : Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash, etc.

Compte tenu de la facilité d'utilisation et les systèmes critiques qui l'utilisent, de nombreux cybercriminels sont susceptibles de l'exploiter pour diffuser leur ransomware. Tandis que d'autres essaient de trouver des solutions, comme Florian Roth de Nextron Systems, qui a partagé certaines Règles YARA pour détecter les tentatives d'exploitation de la vulnérabilité Log4j.

Apache Foundation a également été rapide pour le corriger, en publiant un correctif pour cette vulnérabilité. Par conséquent, il est vital Il est important que vous mettiez à jour vers Log4j version 2.15.0 maintenant., si vous avez un serveur ou un système affecté. Pour plus d'informations sur la façon de le faire, vous pouvez visiter cette lien de téléchargement et avec des informations à ce sujet.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.