Faille Log4j : un nouveau correctif publié par Apache

21 décembre 2021 à 12h30
2
Log4j

Jamais deux sans trois. L’Apache Software Foundation (ASF) a déployé un nouveau patch pour Log4j afin de corriger une faille de vulnérabilité critique.

C’est la troisième mise à jour de sa bibliothèque logicielle open source en l’espace de dix jours seulement. 

Une nouvelle mise à jour de Log4j

Ça n'en finit plus. Après qu'une faille de sécurité de niveau critique maximal (baptisée Log4Shell) a été découverte dans le logiciel de journalisation Log4j, utilisé dans des millions d’applications dont Minecraft, et alors que les entreprises ont lancé un appel aux chasseurs de bugs pour dénicher les failles spécifiques à Log4j, l’ASF a publié une troisième mise à jour.

La version 2.16 sortie mardi 14 novembre ne protégeait « pas toujours contre la récursion infinie dans l'évaluation de la recherche » a expliqué la fondation dans un communiqué de presse. Plus concrètement, la version précédente permettait aux assaillants de créer des attaques DoS. Un problème qui devrait être corrigé par l’update 2.17.0… mais les entreprises ne sont pas au bout de leur peine.

James Wetter et Nicky Ringland, chercheurs de l’équipe Open Source Insights, ont affirmé dans un rapport publié par Google vendredi dernier que 35 863 des artefacts Java disponibles dans Maven Central dépendent du code Log4j concerné par la faille. Selon eux, seulement près de 5 000 artefacts ont été patchés, mais il sera difficile de résoudre le problème dans sa globalité à cause de la profondeur de l'intégration de Log4j dans certains produits. En d’autres termes, cela pourrait prendre des années avant qu’il ne soit corrigé, dans certains cas.

Depuis plusieurs jours, Internet s’agite autour d’une vulnérabilité dans Log4j, un programme inconnu du grand public et pourtant utilisé dans un nombre très important de logiciels et applications web. Pourquoi cette faille est-elle si significative ? On vous explique.
Lire la suite

Source : Zdnet

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (2)

JerryGollet
Plus concrètement, la version précédente permettait aux assaillants de créer des attaques DDoS.<br /> DoS et non DDoS, c’est d’ailleurs correctement précisé par votre source.
Catstom
Et si Apache patchait Tom les pom.xml de l’ancien pour forcer la dernière version de la librairie ???<br /> Voir carrément supprimer des dépôts les versions avec faille?
Voir tous les messages sur le forum