Sécurité

Javapocalypse : le carnage Log4j continue

Parce qu’une vulnérabilité peut en cacher plusieurs, le feuilleton de la faille Log4j continue en ce début de semaine.

L’info avait pas mal bousculé le monde de l’infosec et la sphère Java la semaine dernière : une faille dans l’utilitaire de journalisation open source Log4j, utilisé à grande échelle dans les projets Java, permettait une exécution de code à distance sans nécessiter d’authentification.



Très vite, plusieurs organismes avaient alors exhorté les organisations à migrer de toute urgence vers la version corrective 2.15.0 de Log4j alors que la vulnérabilité commençait déjà à être exploitée à grande vitesse dans le monde.

Mais manque de bol : deux nouvelles failles (oui, DEUX !) avaient alors été identifiées dans ce même correctif, entraînant le déploiement express d’une NOUVELLE version de Log4j (2.16.0) la semaine dernière pour y pallier, encore une fois à installer au plus vite donc.

Et comme le dit si bien l’expression “jamais deux sans trois” : vendredi dernier, la Apache Software Foundation (ASF) a déployé son troisième patch correctif en seulement dix jours pour Log4j avec la version 2.17.0 qui, une fois n’est pas coutume, est téléchargeable ici.

Ne me demandez pas d’aller dans les détails techniques de ces failles, mais une possibilité de bug récursif infini serait en cause dans la dernière trouvaille, avec un risque évalué à 7,5/10 au score CVSS (Common Vulnerability Scoring System). Pour rappel, la faille initiale était quant à elle évaluée à 10/10 (on peut dire qu’il y a du mieux du coup, non ?).

Restons calmes, car l’explosion du nombre de failles détectées pour ce soft n’est en soi pas très surprenante : aussitôt qu’une vulnérabilité est découverte dans un outil, il est de bon usage que les hackers (mais aussi les chercheurs en cybersécu) creusent encore plus pour en déceler de nouvelles.

Au passage, vous pouvez également vous en douter : les memes sur Log4j continuent de leur côté d’aller bon train sur le site dont je vous ai parlé la semaine dernière.

Une fois cette nouvelle migration effectuée, il ne vous reste donc plus qu’à croiser les doigts en espérant ne plus avoir à vous soucier de Log4j pendant les fêtes !

À propos de l'auteur
Nicolas Lecointre
Chief Happiness Officer des développeurs, ceinture noire de sudo. Pour rire, j'ai créé Les Joies du Code. J'utilise Vim depuis 10 ans parce que je sais pas comment le quitter.