{"id":251351,"date":"2022-09-26T10:28:00","date_gmt":"2022-09-26T07:28:00","guid":{"rendered":"https:\/\/inform.click\/de-nombreuses-applications-et-serveurs-bases-sur-java-sont-vulnerables-au-nouvel-exploit-log4shell\/"},"modified":"2022-09-26T10:37:00","modified_gmt":"2022-09-26T07:37:00","slug":"de-nombreuses-applications-et-serveurs-bases-sur-java-sont-vulnerables-au-nouvel-exploit-log4shell","status":"publish","type":"post","link":"https:\/\/inform.click\/fr\/de-nombreuses-applications-et-serveurs-bases-sur-java-sont-vulnerables-au-nouvel-exploit-log4shell\/","title":{"rendered":"De nombreuses applications et serveurs bas\u00e9s sur Java sont vuln\u00e9rables au nouvel exploit Log4Shell"},"content":{"rendered":"

\n Pourquoi c’est important: plus<\/strong> t\u00f4t cette semaine, les d\u00e9veloppeurs de la plate-forme de s\u00e9curit\u00e9 open source LunaSec ont d\u00e9couvert une vuln\u00e9rabilit\u00e9 zero-day affectant une biblioth\u00e8que de journalisation bas\u00e9e sur Java largement utilis\u00e9e. La vuln\u00e9rabilit\u00e9, identifi\u00e9e dans un article de blog sous le nom de Log4Shell (CVE-2021-44228), peut donner \u00e0 des tiers la possibilit\u00e9 d’ex\u00e9cuter du code malveillant sur des syst\u00e8mes vuln\u00e9rables.\n<\/p>\n

\n La d\u00e9couverte de la vuln\u00e9rabilit\u00e9 est attribu\u00e9e<\/a> aux chercheurs de LunaSec<\/a> et \u00e0 Chen Zhaojun d’Alibaba Cloud Security. Il exploite un utilitaire de journalisation bas\u00e9 sur Apache largement utilis\u00e9, log4j, pour enregistrer les donn\u00e9es du serveur avec des charges utiles malveillantes qui d\u00e9clenchent une s\u00e9rie d’actions pour injecter une charge utile secondaire. La charge utile secondaire permet l’ex\u00e9cution \u00e0 distance de code sur le syst\u00e8me affect\u00e9.\n<\/p>\n

\n Les chercheurs charg\u00e9s d’identifier la vuln\u00e9rabilit\u00e9, d\u00e9couverte initialement sur les serveurs Minecraft, pensent que des centaines de milliers d’entreprises et de syst\u00e8mes pourraient \u00eatre menac\u00e9s en raison de l’utilisation g\u00e9n\u00e9ralis\u00e9e du service de journalisation bas\u00e9 sur Apache. Les analystes ont d\u00e9j\u00e0 identifi\u00e9 plusieurs grandes entreprises et services comme vuln\u00e9rables, notamment Amazon, Apple, Elastic, Steam, Tencent et Twitter. Le directeur de la cybers\u00e9curit\u00e9 de l’Agence de s\u00e9curit\u00e9 nationale, Robert Joyce, a \u00e9galement confirm\u00e9<\/a> que GHIDRA<\/a>, l’outil d’ing\u00e9nierie inverse open source de l’agence, \u00e9tait \u00e9galement affect\u00e9.\n<\/p>\n

\n LunaSec note que toute personne utilisant le framework Apache Struts<\/a> est probablement vuln\u00e9rable. Une mise \u00e0 jour ult\u00e9rieure a d\u00e9velopp\u00e9 la d\u00e9claration, indiquant que les versions JDK sup\u00e9rieures \u00e0 6u211, 7u201, 8u191 et 11.01 ne sont pas affect\u00e9es par le vecteur bas\u00e9 sur LDAP de l’attaque. Cependant, cela ne signifie pas que les versions ult\u00e9rieures sont compl\u00e8tement immunis\u00e9es, car des vecteurs d’attaque alternatifs peuvent toujours \u00eatre utilis\u00e9s pour tirer parti de la vuln\u00e9rabilit\u00e9 Log4Shell afin de lancer l’ex\u00e9cution de code \u00e0 distance.\n<\/p>\n

\n La d\u00e9couverte de LunaSec et le CVE qui en r\u00e9sulte fournissent aux syst\u00e8mes concern\u00e9s des mesures d’att\u00e9nuation temporaires et permanentes pour s’assurer que l’exploit n’a pas d’impact n\u00e9gatif sur leurs serveurs et leurs op\u00e9rations. Une version mise \u00e0 jour du service log4j, v2.15.0<\/a>, a corrig\u00e9<\/a> l’exploit et a \u00e9t\u00e9 mise \u00e0 disposition pour t\u00e9l\u00e9chargement. Une att\u00e9nuation temporaire a \u00e9galement \u00e9t\u00e9 fournie<\/a> dans le CVE pour les organisations incapables de mettre \u00e0 niveau leur service log4j pour le moment.\n<\/p>\n

\n Cr\u00e9dit image: Markus Spiske<\/a>\n<\/p>\n<\/p>\n

\n Source d’enregistrement: techspot.com<\/a>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

La d\u00e9couverte de la vuln\u00e9rabilit\u00e9 est attribu\u00e9e aux chercheurs de LunaSec et \u00e0 Chen Zhaojun d’Alibaba Cloud Security. Il exploite un utilitaire de journalisation bas\u00e9 sur Apache largement utilis\u00e9, log4j, pour journaliser le serveur …<\/p>\n","protected":false},"author":1,"featured_media":123273,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[522,639,600],"tags":[],"class_list":["post-251351","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-divers-fr","category-securite","category-technologie-et-plus"],"_links":{"self":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/posts\/251351","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/comments?post=251351"}],"version-history":[{"count":0,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/posts\/251351\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/media\/123273"}],"wp:attachment":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/media?parent=251351"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/categories?post=251351"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/tags?post=251351"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}