Parce qu’une vulnérabilité peut en cacher plusieurs, le feuilleton de la faille Log4j continue en ce début de semaine.
L’info avait pas mal bousculé le monde de l’infosec et la sphère Java la semaine dernière : une faille dans l’utilitaire de journalisation open source Log4j, utilisé à grande échelle dans les projets Java, permettait une exécution de code à distance sans nécessiter d’authentification.
Très vite, plusieurs organismes avaient alors exhorté les organisations à migrer de toute urgence vers la version corrective 2.15.0 de Log4j alors que la vulnérabilité commençait déjà à être exploitée à grande vitesse dans le monde.
Mais manque de bol : deux nouvelles failles (oui, DEUX !) avaient alors été identifiées dans ce même correctif, entraînant le déploiement express d’une NOUVELLE version de Log4j (2.16.0) la semaine dernière pour y pallier, encore une fois à installer au plus vite donc.
Et comme le dit si bien l’expression “jamais deux sans trois” : vendredi dernier, la Apache Software Foundation (ASF) a déployé son troisième patch correctif en seulement dix jours pour Log4j avec la version 2.17.0 qui, une fois n’est pas coutume, est téléchargeable ici.
Ne me demandez pas d’aller dans les détails techniques de ces failles, mais une possibilité de bug récursif infini serait en cause dans la dernière trouvaille, avec un risque évalué à 7,5/10 au score CVSS (Common Vulnerability Scoring System). Pour rappel, la faille initiale était quant à elle évaluée à 10/10 (on peut dire qu’il y a du mieux du coup, non ?).
Restons calmes, car l’explosion du nombre de failles détectées pour ce soft n’est en soi pas très surprenante : aussitôt qu’une vulnérabilité est découverte dans un outil, il est de bon usage que les hackers (mais aussi les chercheurs en cybersécu) creusent encore plus pour en déceler de nouvelles.
Au passage, vous pouvez également vous en douter : les memes sur Log4j continuent de leur côté d’aller bon train sur le site dont je vous ai parlé la semaine dernière.
Une fois cette nouvelle migration effectuée, il ne vous reste donc plus qu’à croiser les doigts en espérant ne plus avoir à vous soucier de Log4j pendant les fêtes !
À propos de l'auteur
Nicolas Lecointre
Chief Happiness Officer des développeurs, ceinture noire de sudo. Pour rire, j'ai créé Les Joies du Code. J'utilise Vim depuis 10 ans parce que je sais pas comment le quitter.
Articles similaires
OpenSSL 4.0 : la bibliothèque qui sécurise Internet fait peau neuve
Attention : des hackers publient de fausses alertes de sécurité sur GitHub pour vous piéger
Claude Mythos : le modèle IA d'Anthropic trop dangereux pour être rendu public
Claude Code : la fuite de code source piégée pour distribuer un infostealer
OpenSSL 4.0 : la bibliothèque qui sécurise Internet fait peau neuve
Attention : des hackers publient de fausses alertes de sécurité sur GitHub pour vous piéger
Claude Mythos : le modèle IA d'Anthropic trop dangereux pour être rendu public
Claude Code : la fuite de code source piégée pour distribuer un infostealer
Plus de contenu
Quand je regarde les utilisateurs se servir de l'appli
Quand le chef de projet se décide enfin à contredire le commercial face au client
"C'est qu'une ligne de code en plus, pas besoin de tester !"
Quand le dev senior a son astuce pour se connecter au serveur de prod
Quand le binôme m'annonce qu'il a flingué notre repository
Quand le chef nous surprend à glander
Quand le chef nous dit qu'on fera les tests quand on aura le temps
Quand j'arrive pas à configurer mon propre projet sur le poste du nouveau
Quand je regarde les utilisateurs se servir de l'appli
Quand le chef de projet se décide enfin à contredire le commercial face au client
"C'est qu'une ligne de code en plus, pas besoin de tester !"
Quand le dev senior a son astuce pour se connecter au serveur de prod
Quand le binôme m'annonce qu'il a flingué notre repository