Actualités

Log4j (Java, J2EE) : mise en lumière d’une vulnérabilité 0-day entraînant une exécution de code à distance ! (le “bean”s…)

Depuis le 9 Décembre 2021, l’équipe LunaSec alerte : une vulnérabilité assez critique impacte la bibliothèque Apache pour les versions 2.14.1 et inférieures. Il est vivement conseillé, si ce n’est déjà fait, de procéder à la mise à jour (v2.15.0) de Log4j.

 

 

Selon la version exploitée, l’attaque peut aller jusqu’à une exécution distante de code en déviant la journalisation depuis le LDAP via les fonctions JNDI. Assignée CVE-2021-44228, la faille, en-dessous des versions 2.15.0 peut permettre un contrôle-serveur distant tout en notant que les versions strictement inférieures à v2.10 de Log4j peuvent être jugulables sur ce point en effectuant, en manuel, une modification ou création-paramètre (système) via log4j2.formatMsgNoLookups voire en supprimant JndiLookup du chemin-fichier ou dossier. La version 8u121 de Java semble immunisé contre cet exploit : il suffit de définir par défaut “LOG4J_FORMAT_MSG_NO_LOOKUPS” à “true”, indique le bulletin de sécurité ; voire “com.sun.jndi.rmi.object.trustURLCodebase” et “com.sun.jndi.cosnaming.object.trustURLCodebase” à “false“, selon ce chercheur sécuritaire.

Le problème réel ici ne se situe pas dans la bibliothèque JDK ou Apache Tomcat, mais plutôt dans les applications personnalisées qui transmettent des données contrôlables par l’utilisateur à la fonction “InitialContext.lookup()”, car cela représente toujours un risque de sécurité même dans les installations JDK entièrement corrigées. Gardez à l’esprit que d’autres vulnérabilités (telles que la « désérialisation des données non fiables » par exemple) peuvent également conduire à la résolution de JNDI dans de nombreux cas. Prévenir ces vulnérabilités en utilisant une revue de code source est toujours une bonne idée“, complétait déjà un autre chercheur sécuritaire, Michael Stepankin, le 3 Janvier 2019 au sein d’un PoC dédié… A veiller !

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Dernier commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6