Log4j est un petit logiciel open source largement utilisé. En décembre, on apprenait qu'il contenait un bug, ce qui fait que de nombreux systèmes de par le monde devaient rapidement être actualisés.

C'est ce qu'Amazon a également fait pour son environnement 'cloud' AWS, mais l'entreprise a ainsi généré par mégarde d'autres problèmes de sécurité. Concrètement, depuis le patch Log4j, il est possible de sortir d'un conteneur et d'obtenir un accès-racine au serveur sous-jacent. Il en résulte qu'un hacker peut par exemple accéder à d'autres conteneurs et aux applis qui y tournent.

Les nouvelles failles se sont vu attribuer les codes CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 et CVE-2022-0071. Vu le risque, Amazon recommande de les installer dans les plus brefs délais. Les failles ont été découvertes par Unit 24, une division de Palo Alto Networks, qui explique leur fonctionnement dans une vidéo.

Log4j est un petit logiciel open source largement utilisé. En décembre, on apprenait qu'il contenait un bug, ce qui fait que de nombreux systèmes de par le monde devaient rapidement être actualisés.C'est ce qu'Amazon a également fait pour son environnement 'cloud' AWS, mais l'entreprise a ainsi généré par mégarde d'autres problèmes de sécurité. Concrètement, depuis le patch Log4j, il est possible de sortir d'un conteneur et d'obtenir un accès-racine au serveur sous-jacent. Il en résulte qu'un hacker peut par exemple accéder à d'autres conteneurs et aux applis qui y tournent.Les nouvelles failles se sont vu attribuer les codes CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 et CVE-2022-0071. Vu le risque, Amazon recommande de les installer dans les plus brefs délais. Les failles ont été découvertes par Unit 24, une division de Palo Alto Networks, qui explique leur fonctionnement dans une vidéo.