![[SGF23]Xbox Games Showcase et Starfield Direct : deux showcases sur les dernières nouveautés de la division Xbox et Bethesda ! (show-chaud…)](https://blog.sosordi.net/wp-content/uploads/2023/03/starfield_bethesda-softworks_02-330x180.jpg?x23984 "[SGF23]Xbox Games Showcase et Starfield Direct : deux showcases sur les dernières nouveautés de la division Xbox et Bethesda ! (show-chaud…)")
![[A venir !] Summer Game Fest(ival) 2023 : les annonces video-ludiques délivrées dès le 8 Juin 2023 ! (heure française…)](https://blog.sosordi.net/wp-content/uploads/2023/03/summer-game-fest-2023_vue-330x180.jpg?x23984 "[A venir !] Summer Game Fest(ival) 2023 : les annonces video-ludiques délivrées dès le 8 Juin 2023 ! (heure française…)")
![[E3 2023]”L’avenir de l’E3″ : clap de fin pour l’édition 2023 qui n’aura pas lieu… et pour le salon video-ludique ? (Ecouac…)](https://blog.sosordi.net/wp-content/uploads/2023/03/e3-2023_e3-330x180.jpg?x23984 "[E3 2023]”L’avenir de l’E3″ : clap de fin pour l’édition 2023 qui n’aura pas lieu… et pour le salon video-ludique ? (Ecouac…)")
![[Rumeur]Galaxy S24 Ultra : le prochain terminal haut de gamme de Samsung sera dopé au Snapdragon 8 Gen3 !](https://blog.sosordi.net/wp-content/uploads/2023/03/samsung_galaxy-unpacked-2023_01-02-23_60-330x180.jpg?x23984 "[Rumeur]Galaxy S24 Ultra : le prochain terminal haut de gamme de Samsung sera dopé au Snapdragon 8 Gen3 !")
![[MAJ 30 / 03]P60 Series, Mate X3, Enjoy 60, Watch Ultimate, Band B7, FreeBuds 5, FreeBuds Pro 2 Plus, MatePad 11, routeur Q6 Wi-fi 6 Plus, Qingyun S540 et G540… le récap’ des annonces printanières de Huawei, le 23 Mars 2023 !](https://blog.sosordi.net/wp-content/uploads/2023/03/huawei_mate-x3_02-330x180.jpg?x23984 "[MAJ 30 / 03]P60 Series, Mate X3, Enjoy 60, Watch Ultimate, Band B7, FreeBuds 5, FreeBuds Pro 2 Plus, MatePad 11, routeur Q6 Wi-fi 6 Plus, Qingyun S540 et G540… le récap’ des annonces printanières de Huawei, le 23 Mars 2023 !")
![[MAJ 10 / 03]”Quand déployons-nous le nouveau variant ?”, “project fear”… ex-filtration de messages WhatsApp entre dirigeants du Royaume-Uni ! (Lockdown files…)](https://blog.sosordi.net/wp-content/uploads/2023/03/royaume-uni_lockdown-files_covid19_01-330x180.jpg?x23984 "[MAJ 10 / 03]”Quand déployons-nous le nouveau variant ?”, “project fear”… ex-filtration de messages WhatsApp entre dirigeants du Royaume-Uni ! (Lockdown files…)")
![[A venir !]WWDC 2023 : les annonces d’Apple entre le 5 Juin et le 9 Juin 2023 !](https://blog.sosordi.net/wp-content/uploads/2023/03/apple_wwdc-2023_05-06-23_01-330x180.jpg?x23984 "[A venir !]WWDC 2023 : les annonces d’Apple entre le 5 Juin et le 9 Juin 2023 !")
![[A venir !]Lune : les annonces et actualisations du programme Artemis II de la NASA ! (prochaine étape, les êtres humains…)](https://blog.sosordi.net/wp-content/uploads/2023/03/nasa_csa_artemis-ii_01-330x180.jpg?x23984 "[A venir !]Lune : les annonces et actualisations du programme Artemis II de la NASA ! (prochaine étape, les êtres humains…)")
36.png){kind=small}
Tags populaires
1
Depuis le 9 Décembre 2021, l’équipe LunaSec alerte : une vulnérabilité assez critique impacte la bibliothèque Apache pour les versions 2.14.1 et inférieures. Il est vivement conseillé, si ce n’est déjà fait, de procéder à la mise à jour (v2.15.0) de Log4j.
Selon la version exploitée, l’attaque peut aller jusqu’à une exécution distante de code en déviant la journalisation depuis le LDAP via les fonctions JNDI. Assignée CVE-2021-44228, la faille, en-dessous des versions 2.15.0 peut permettre un contrôle-serveur distant tout en notant que les versions strictement inférieures à v2.10 de Log4j peuvent être jugulables sur ce point en effectuant, en manuel, une modification ou création-paramètre (système) via log4j2.formatMsgNoLookups voire en supprimant JndiLookup du chemin-fichier ou dossier. La version 8u121 de Java semble immunisé contre cet exploit : il suffit de définir par défaut “LOG4J_FORMAT_MSG_NO_LOOKUPS” à “true”, indique le bulletin de sécurité ; voire “com.sun.jndi.rmi.object.trustURLCodebase” et “com.sun.jndi.cosnaming.object.trustURLCodebase” à “false“, selon ce chercheur sécuritaire.
“Le problème réel ici ne se situe pas dans la bibliothèque JDK ou Apache Tomcat, mais plutôt dans les applications personnalisées qui transmettent des données contrôlables par l’utilisateur à la fonction “InitialContext.lookup()”, car cela représente toujours un risque de sécurité même dans les installations JDK entièrement corrigées. Gardez à l’esprit que d’autres vulnérabilités (telles que la « désérialisation des données non fiables » par exemple) peuvent également conduire à la résolution de JNDI dans de nombreux cas. Prévenir ces vulnérabilités en utilisant une revue de code source est toujours une bonne idée“, complétait déjà un autre chercheur sécuritaire, Michael Stepankin, le 3 Janvier 2019 au sein d’un PoC dédié… A veiller !
Sources :
- Logging Apache – 6 Décembre 2021 – Notes de mises à jour (par versionnage de Log4j + bulletins sécuritaires dédiés),
- LunaSec – 9-10 Décembre 2021 – Log4j : vulnérabilité 0-day (explications + atténuations + ressources),
- blog VeraC0(1)de – 3 Janvier 2019 – Vulnérabilité sous Java depuis une viralité instillée dans le JNDI de Log4j (PoC).
MrSlayers / 14 décembre 2021
Voici un dépot Github listant les logiciels impactés (à mon avis liste non exhaustive)
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
/