Apache log4j : une vulnérabilité extrêmement dangereuse
Une vulnérabilité retrouvée dans la bibliothèque Apache Log4j permettrait l’exécution de code à distance sur n’importe quel système l’utilisant.
La fondation Apache a d’ailleurs publié une mise à jour d’urgence pour la vulnérabilité zero-day critique Log4j.
Le problème a été nommé Log4Shell et a reçu l’identificateur CVE-2021-44228.
Selon le site lunasec, des services Cloud comme Steam, Apple Icloud et certaines applications comme Minecraft se sont déjà révélés vulnérables.
D’ailleurs, toute personne utilisant Apache Struts est probablement vulnérable.
Mais qu’est-ce que Log4j ?
Il s’agit d’une bibliothèque de journalisation (API) fiable, rapide et flexible écrite en Java par Ceki Gülcü.
Nous sommes aujourd’hui à la version 2 de Log4j et l’une des caractéristiques les plus reconnues de celle-ci est la performance des « Enregistreurs asynchrones ».
Comment savoir si mes applications utilisent Log4j ?
C’est l’une des bibliothèques Java les plus répandues à ce jour, car elle permet l’enregistrement assez facile des données.
Pour trouver Log4j, il existe des outils open source, deux précisément dirigés par Anchore qui ont la capacité d’analyser un grand nombre de formats de dépendance packagés, d’identifier leur existence et d’y signaler les vulnérabilités : Syft et Grype.
Syft génère une nomenclature logicielle (SBOM) et Grype est un scanner de vulnérabilité. Ces deux outils sont capables d’inspecter plusieurs couches imbriquées d’archives JAR pour découvrir et identifier les versions de Log4j.
Source: How to detect the Log4j vulnerability in your applications
