Vulnérabilité dans Apache Log4j
Date de publication :
CVE-2021-44832[Score CVSS v3.1: 6.6]
Une vulnérabilité de criticité haute a été trouvée dans Apache Log4j Celle-ci est due à un mauvais contrôle du composant Logging Configuration File Handler. Un attaquant authentifié peut exécuter du code à distance et ainsi élever ses privilèges.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Exécution de code arbitraire (distant)
- Elévation de privilèges
Criticité
- Score CVSS v3.1: 6.6
La faille est activement exploitée
- Non
Un correctif existe
- Oui
Une mesure de contournement existe
- Non
Les vulnérabilités exploitées sont du type
- CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component
- CWE-20: Improper Input Validation
Détails sur l’exploitation
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Elevée
- Privilèges nécessaires pour réaliser l’attaque : Non
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui
Composants vulnérables
Les versions suivantes du produit sont concernées :
- Versions 2.0-beat7 à la version 2.17.0 (hors 2.3.2 et 2.12.4)
Solutions ou recommandations
- Ce problème est résolu en limitant les noms de source de données JNDI au protocole Java
- Mettre à jour log4j vers les versions Log4j2 2.17.1, 2.12.4 et 2.3.2.