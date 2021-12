Vulnérabilité Log4Shell - nouveau commentaire de Sophos

décembre 2021 par Sean Gallagher, chercheur principal en menaces chez Sophos

" Log4j est un framework de logging très populaire, utilisé par un nombre important de logiciels, services cloud et autres applications répandus. Les vulnérabilités des versions antérieures à la 2.15.0 permettent à un acteur malveillant de récupérer des données d’une application affectée ou de son système d’exploitation sous-jacent, ou encore d’exécuter du code Java alors que ce dernier s’exécute normalement et uniquement avec les autorisations données dans l’environnement d’exécution Java. Ce code peut alors lancer des commandes et des scripts contre le système d’exploitation local, qui peut à son tour télécharger du code malveillant supplémentaire et donner une élévation de privilège et un accès à distance persistant.

"Bien que la version 2.15.0 de Log4j, publiée au moment où la vulnérabilité est devenue publique, corrige ces problèmes, elle laisse les systèmes vulnérables dans certains cas à des attaques par déni de service. Les organisations doivent évaluer quelles versions de Log4j se trouvent dans leurs applications développées en interne, et appliquer les correctifs aux versions les plus récentes (2.12.2 pour Java 7 et 2.16.0 pour Java 8), sans oublier d’appliquer également les correctifs logiciels des fournisseurs dès qu’ils sont disponibles."