La faille Log4Shell vire au cauchemar, des brèches supplémentaires découvertes
Le cauchemar Log4Shell n’en finit pas.
La première faille découverte
La faille originelle du 10 décembre 2021 est identifiée comme CVE-2021-44228. C’est elle qui permet d’exécuter du code à distance sans authentification et d’accéder aux serveurs concernés. Cette faiblesse très facile à utiliser concerne tous les systèmes qui utilisent des versions de Log4j de la 2.0 à la 2.14.1. Un patch a été développé en catastrophe par les bénévoles de la Apache Software Fondation, la version 2.15.0.
Une seconde vulnérabilité plus grave que prévu
Mais dans les jours qui ont suivi, une autre vulnérabilité a été trouvée rapidement, identifiée comme CVE-2021-45046. Problème : elle concerne aussi la version 2.15, soit la version patchée. Cette faille a d’abord été identifiée comme peu importante avec la note de 3,7 sur 10, quand la première découverte atteignait le score maximal de 10. Mais de nouveaux problèmes rendus publics le 17 décembre 2021 changent la donne : sa note monte maintenant à 9.
Les premiers éléments laissaient penser que CVE-2021-45046 ne permettait que de simples attaques DDOS, c'est-à-dire des dénis de service qui saturent un serveur de demandes pour le rendre inutilisable. Mais les dernières trouvailles montrent qu'il est également possible dans certains cas de réaliser des exécutions de code, comme la première faille. Là aussi, un patch correctif a été développé, la version 2.16.
Deux autres failles repérées, les versions anciennes sont aussi concernées
Sauf que la série ne s’arrête pas là : deux autres graves vulnérabilités ont été dénichées. Une première le 14 décembre 2021 avec un score de sévérité de 8,1 sur 10, identifiée comme CVE-2021-4104, touche d’anciennes versions de Log4j que l’on pensait épargnées. Au moment de la découverte de Log4Shell le 10 décembre, seules les versions 2.X étaient touchées. Différentes instances de cybersécurité conseillaient même de retourner aux versions 1.X pour éviter la faille. Mais ce sont elles qui sont touchées ici, par la même possibilité d’exécution de code à distance. Le passage aux dernières mises à jour semble donc inévitable.
Et justement, un dernier correctif 2.17 a été partagé, car la faille CVE-2021-45105, trouvée le 17 décembre 2021, permettait des attaques par déni de service dans certaines configurations de la version 2.16. Sa sévérité est évaluée à 7,5 sur 10.
Comment se protéger de Log4Shell ?
Pour résumer, il faut utiliser la dernière version de Log4j, à savoir la 2.17 au moment de la rédaction de cet article, publié le 20 décembre. La quantité de nouvelles failles découvertes ces derniers jours, et de correctifs développés en réponse, montre l'importance pour les éditeurs et les développeurs de rester attentifs aux mises à jour proposées par la fondation Apache.
Si vous êtes un particulier ou une entreprise qui ne développe pas ses propres outils, vous ne pouvez pas faire grand-chose d'autre que de mettre à jour méthodiquement vos différents logiciels et systèmes à mesure que des patchs sont proposés. Vous pouvez également contacter l'entreprise qui vous fournit ce service pour savoir si les différents correctifs ont été appliqués, ou consulter sa réaction à la faille.