Vulnérabilité dans Apache Log4j
Date de publication :
CVE-2021-44832[Score CVSS v3.1: 6.6]
Une vulnérabilité de criticité haute a été trouvée dans Apache Log4j Celle-ci est due à un mauvais contrôle du composant Logging Configuration File Handler. Un attaquant authentifié peut exécuter du code à distance et ainsi élever ses privilèges.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
-
Exécution de code arbitraire (distant)
Elévation de privilèges
Criticité
-
Score CVSS v3.1: 6.6
La faille est activement exploitée
-
Non
Un correctif existe
-
Oui
Une mesure de contournement existe
- Non
Les vulnérabilités exploitées sont du type
-
CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component
CWE-20: Improper Input Validation
Détails sur l’exploitation
-
Vecteur d’attaque : Réseau
Complexité de l’attaque : Elevée
Privilèges nécessaires pour réaliser l’attaque : Non
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui
Composants vulnérables
Les versions suivantes du produit sont concernées :
-
Versions 2.0-beat7 à la version 2.17.0 (hors 2.3.2 et 2.12.4)
Solutions ou recommandations
- Ce problème est résolu en limitant les noms de source de données JNDI au protocole Java
- Mettre à jour log4j vers les versions Log4j2 2.17.1, 2.12.4 et 2.3.2.