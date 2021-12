Recommandation de Snyk pour fixer la faille Log4Shell

décembre 2021 par Snyk

La vulnérabilité, nommée Log4Shell, qui se trouve au sein d’une libraire du langage Java permettant d’enregistrer les activités/logs d’une application, est publiée sous le nom de CVE-2021-44228 et classée comme critique avec un score CVSS de 10 (le score le plus élevé possible).

De nombreuses entreprises dans le monde utilisent Apache Log4j 2. Compte tenu de la nature très grave de cette vulnérabilité, il est impératif que les entreprises mettent immédiatement à jour toutes les versions actuelles de Log4j 2 de la version 2.14.1 vers la version 2.15.0 ou une version supérieure. C’est le seul moyen de corriger la faille de sécurité qui peut être détournée pour faire fonctionner du code non autorisé sur un serveur.

Brian Vermeer, Senior Developer Advocate et Java Champion chez Snyk, souligne que : "De nombreux frameworks de l’écosystème Java utilisent cet outil de journalisation par défaut. Apache Struts 2, Apache Solr et Apache Druid sont, par exemple, tous concernés. Apache Log4J est également utilisé dans de nombreuses applications Spring et Spring Boot. Je tiens à souligner que cette situation est très grave. Des avertissements nous parviennent actuellement depuis l’ensemble du secteur, indiquant que les attaquants cherchent activement des serveurs vulnérables aux attaques de Log4Shell. Nous recommandons donc à chacun de vérifier et de mettre à jour ses applications à la dernière version."