Lorsqu’Amazon sortit un patch pour corriger les bugs dans Log4j sur AWS, elle effectua des adaptations qui générèrent de nouvelles failles, pour lesquelles il existe à présent un patch.
Log4j est un petit logiciel open source largement utilisé. En décembre, on apprenait qu’il contenait un bug, ce qui fait que de nombreux systèmes de par le monde devaient rapidement être actualisés.
C’est ce qu’Amazon a également fait pour son environnement ‘cloud’ AWS, mais l’entreprise a ainsi généré par mégarde d’autres problèmes de sécurité. Concrètement, depuis le patch Log4j, il est possible de sortir d’un conteneur et d’obtenir un accès-racine au serveur sous-jacent. Il en résulte qu’un hacker peut par exemple accéder à d’autres conteneurs et aux applis qui y tournent.
Les nouvelles failles se sont vu attribuer les codes CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 et CVE-2022-0071. Vu le risque, Amazon recommande de les installer dans les plus brefs délais. Les failles ont été découvertes par Unit 24, une division de Palo Alto Networks, qui explique leur fonctionnement dans une vidéo.
Vous pouvez modifier vos choix à tout moment en cliquant sur « Paramètres des cookies » en bas du site.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici