Le premier patch sorti pour corriger la fuite critique dans le logiciel Apache Log4j semble lui-même présenter des failles, qui sont exploitées activement.
‘Mise à jour immédiate’, titrions-nous la semaine dernière, lorsqu’une brèche de type ‘zero-day’ avait été découverte dans le logiciel Log4J, qui avait été activement abusée pour pirater des systèmes. L’outil d’enregistrement open source Log4J d’Apache est utilisé dans quasiment toutes les applications web et systèmes ‘cloud’ importants. Amazon, Apple, Cloudflare, Tesla, Minecraft et Twitter notamment y ont recours.
Via cette faille, des pirates peuvent abuser à distance des droits de serveurs web, ce qui peut provoquer d’importants dommages et ce, au niveau mondial. L’attaque lancée contre le ministère belge de la défense, la semaine dernière, aurait par exemple exploité cette brèche. Le CCB belge notamment a dès lors rapidement recommandé une mise à niveau vers la version 2.15.0.
Mais ce n’est toujours pas suffisant. Le correctif rapidement développé peut en effet présenter lui-même des fuites dans certaines configurations, selon des chercheurs, dont vous pouvez lire le rapport ici. Concrètement, il y aurait deux bugs dans le patch 2.15.0, qui sont entre-temps déjà exploités par des gens mal intentionnés. Depuis la semaine dernière, Apache a lancé deux nouvelles versions, dans lesquelles ces bugs seraient solutionnés. Il importe donc que vous passiez immédiatement à la version 2.16.0 ou 2.17.0 du patch pour colmater la brèche dans Log4J (appellation officielle CVE 2021-45046) sans ouvrir d’autres portes dérobées.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici