Le CERT-FR vient, pour la huitième fois, de mettre à jour son bulletin d'alerte consacré à la vulnérabilité dans Apache Log4j.
La version 2.17.0 recommandée jusqu'à présent est en effet affectée par une vulnérabilité : CVE-2021-44832.
Elle permet à un attaquant autorisé à modifier le fichier de configuration Log4J d'effectuer une exécution de code à distance. La complexité de l'attaque étant élevée, le CERT-FR continue de recommander la mise à jour des composants Log4j à la version 2.17.0 pour java 8 et 2.12.3 pour java7.
Par ailleurs, il est fortement recommandé de rester attentif aux nouvelles vulnérabilités Log4j qui pourraient être identifiées à l'avenir ainsi qu'aux correctifs proposés par Apache, conclut le CERT-FR.
Commentaires (7)
#1
Courage aux DSI …
#2
Et aux devs, car c’est sur eux que la pression va retomber, les heures sup le soir etc. Le DSI, quand il y en a un, en prend pour son grade mais il n’est pas le seul.
#2.1
Ceci dit ici vu les pré-requis il ne semble pas nécéssaire de faire un patching d’urgence
#3
Si seulement les les librairies était commune et tirées depuis un dépôt de paquet.
Oups.
#4
Ils sont tous partis en vacances au CERT-FR ?
Ça fait depuis le 28-30 décembre que l’info est sortie ailleurs X_X
#5
Mais pourquoi ça sort encore une fois un vendredi :(
#6
C’est à se demander comment ça pouvait marcher avant. Ça fera payer des astreintes à tout le monde