Faille de la bibliothèque log4j : ce qu’il faut savoir
(2021/12/15)
- Reference: 2021-12-15T07_07_40Z
- News link: https://www.toolinux.com/?faille-de-la-bibliotheque-log4j-ce-qu-il-faut-savoir
- Source link:
Faille de la bibliothèque log4j : ce qu’il faut savoir
mercredi 15 décembre 2021
Jamais une bibliothèque d’Apache n’aura autant fait parler d’elle. Apache log4j (journalisation) souffre d’une faille critique, révélée ce 9 décembre. Et comme si cela ne suffisait pas, un exploit a été publié.
La faille critique révélée ces derniers jours se trouve dans la bibliothèque de logs log4j 2, qui est gérée par Apache. L’ [1]avis de sécurité a été publié par Amazon et il sème la panique : Twitter, Tesla, Apple, Steam, Minecraft, tout le monde semble concerné. Sauf peut-être OnlyOffice, qui n’a pas tardé à réagir. L’éditeur européen déclare en effet : " OnlyOffice Workspace dans le cloud (Cloud Service) n’utilise pas la bibliothèque log4j. C’est pourquoi il n’est pas affecté par la grande faille de sécurité de log4j.
Le service Elasticsearch implémenté dans le cloud a déjà été mis à jour par Amazon Web Services et n’est pas non plus affecté par le problème mentionné ".
Quels sont les risques exactement ? Réponse dans un [2]bulletin du CERT-FR : "Exécution de code arbitraire à distance". Une nouvelle version 2.16.0 a été publiée [3]le 13 décembre , qui corrige une nouvelle faille découverte : " Elle complète la correction en désactivant le JNDI et la fonction de Lookup, qui doivent désormais être explicitement activées ."
En cas de difficulté de migration vers cette version, des contournements sont possibles temporairement, soit "en modifiant le format des évènements à journaliser avec la syntaxe %m nolookups pour les données qui seraient fournies par l’utilisateur" (à partir de la version 2.7), soit " en modifiant le paramètre de configuration log4j2.formatMsgNoLookups à la valeur true " (version 2.1).
Le Centre publie également une mise à jour de ses recommandations : " La mise en place de filtres au niveau de vos pare-feux applicatifs pour bloquer les tentatives d’exploitation de cette vulnérabilité peut constituer une première mesure d’urgence mais elle reste insuffisante : les attaquants utilisent différentes techniques d’obscurcissement des données injectées pour contourner ces filtres ."
[4]
[1] https://aws.amazon.com/fr/security/security-bulletins/AWS-2021-005/
[2] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
[3] https://lists.apache.org/thread/d6v4r6nosxysyq9rvnr779336yf0woz4
[4] https://www.toolinux.com/?faille-de-la-bibliotheque-log4j-ce-qu-il-faut-savoir#forum
mercredi 15 décembre 2021
Jamais une bibliothèque d’Apache n’aura autant fait parler d’elle. Apache log4j (journalisation) souffre d’une faille critique, révélée ce 9 décembre. Et comme si cela ne suffisait pas, un exploit a été publié.
La faille critique révélée ces derniers jours se trouve dans la bibliothèque de logs log4j 2, qui est gérée par Apache. L’ [1]avis de sécurité a été publié par Amazon et il sème la panique : Twitter, Tesla, Apple, Steam, Minecraft, tout le monde semble concerné. Sauf peut-être OnlyOffice, qui n’a pas tardé à réagir. L’éditeur européen déclare en effet : " OnlyOffice Workspace dans le cloud (Cloud Service) n’utilise pas la bibliothèque log4j. C’est pourquoi il n’est pas affecté par la grande faille de sécurité de log4j.
Le service Elasticsearch implémenté dans le cloud a déjà été mis à jour par Amazon Web Services et n’est pas non plus affecté par le problème mentionné ".
Quels sont les risques exactement ? Réponse dans un [2]bulletin du CERT-FR : "Exécution de code arbitraire à distance". Une nouvelle version 2.16.0 a été publiée [3]le 13 décembre , qui corrige une nouvelle faille découverte : " Elle complète la correction en désactivant le JNDI et la fonction de Lookup, qui doivent désormais être explicitement activées ."
En cas de difficulté de migration vers cette version, des contournements sont possibles temporairement, soit "en modifiant le format des évènements à journaliser avec la syntaxe %m nolookups pour les données qui seraient fournies par l’utilisateur" (à partir de la version 2.7), soit " en modifiant le paramètre de configuration log4j2.formatMsgNoLookups à la valeur true " (version 2.1).
Le Centre publie également une mise à jour de ses recommandations : " La mise en place de filtres au niveau de vos pare-feux applicatifs pour bloquer les tentatives d’exploitation de cette vulnérabilité peut constituer une première mesure d’urgence mais elle reste insuffisante : les attaquants utilisent différentes techniques d’obscurcissement des données injectées pour contourner ces filtres ."
[4]
[1] https://aws.amazon.com/fr/security/security-bulletins/AWS-2021-005/
[2] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
[3] https://lists.apache.org/thread/d6v4r6nosxysyq9rvnr779336yf0woz4
[4] https://www.toolinux.com/?faille-de-la-bibliotheque-log4j-ce-qu-il-faut-savoir#forum