Faille Log4j : un nouveau correctif publié par Apache

21 décembre 2021 à 12h30
2
Log4j

Jamais deux sans trois. L’Apache Software Foundation (ASF) a déployé un nouveau patch pour Log4j afin de corriger une faille de vulnérabilité critique.

C’est la troisième mise à jour de sa bibliothèque logicielle open source en l’espace de dix jours seulement. 

Une nouvelle mise à jour de Log4j

Ça n'en finit plus. Après qu'une faille de sécurité de niveau critique maximal (baptisée Log4Shell) a été découverte dans le logiciel de journalisation Log4j, utilisé dans des millions d’applications dont Minecraft, et alors que les entreprises ont lancé un appel aux chasseurs de bugs pour dénicher les failles spécifiques à Log4j, l’ASF a publié une troisième mise à jour.

La version 2.16 sortie mardi 14 novembre ne protégeait « pas toujours contre la récursion infinie dans l'évaluation de la recherche » a expliqué la fondation dans un communiqué de presse. Plus concrètement, la version précédente permettait aux assaillants de créer des attaques DoS. Un problème qui devrait être corrigé par l’update 2.17.0… mais les entreprises ne sont pas au bout de leur peine.

James Wetter et Nicky Ringland, chercheurs de l’équipe Open Source Insights, ont affirmé dans un rapport publié par Google vendredi dernier que 35 863 des artefacts Java disponibles dans Maven Central dépendent du code Log4j concerné par la faille. Selon eux, seulement près de 5 000 artefacts ont été patchés, mais il sera difficile de résoudre le problème dans sa globalité à cause de la profondeur de l'intégration de Log4j dans certains produits. En d’autres termes, cela pourrait prendre des années avant qu’il ne soit corrigé, dans certains cas.

Depuis plusieurs jours, Internet s’agite autour d’une vulnérabilité dans Log4j, un programme inconnu du grand public et pourtant utilisé dans un nombre très important de logiciels et applications web. Pourquoi cette faille est-elle si significative ? On vous explique.
Lire la suite

Source : Zdnet

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
JerryGollet
Plus concrètement, la version précédente permettait aux assaillants de créer des attaques DDoS.<br /> DoS et non DDoS, c’est d’ailleurs correctement précisé par votre source.
Catstom
Et si Apache patchait Tom les pom.xml de l’ancien pour forcer la dernière version de la librairie ???<br /> Voir carrément supprimer des dépôts les versions avec faille?
Voir tous les messages sur le forum

Derniers actualités

Idée cadeau | Insta360 X3 : une caméra spectaculaire
Vous devriez faire attention à vos données collectées depuis ces caméras et sonnettes connectées
Google One déploie son VPN gratuit sur les Pixel 7 et 7 Pro
Le Bitcoin est à bout de souffle, peut-il encore revenir ? La BCE n'y croit pas
Le télescope James Webb réussit à photographier les nuages de Titan autour de Saturne
Canal+ lance une nouvelle offre avec Disney+ et le nouveau Paramount + !
L'excellent SSD externe portable Samsung T7 1 To chute de prix avant Noël
Dernières heures du Black Friday : ne passez pas à côté de ces offres VPN !
Voici les meilleures applications de l'App Store en 2022
Haut de page