Vulnérabilité dans LOG4J d’Apache

Date de publication : 29/09/2022

CVE-2021-45046[Score CVSS v3.1: 9.0]

Le correctif apporté pour la vulnérabilité CVE-2021-44228 concernant Log4j n’est pas suffisant, en particulier dans certaines configurations autres que celles par défaut.

Log4J propose un mécanisme de contextualisation des traces par le biais de NDC (Nested Diagnostic Context) et du MDC (Mapped Diagnostic Context). Ces 2 mécanismes se basent sur le même principe : on ajoute des informations, via des méthodes statiques.

Or dans le cas d’une configuration Log4j qui ne soit pas par défaut, un attaquant pouvant modifier le MDC peut intégrer des données malveillantes avec l’aide de la brique JNDI. Pour information, le JNDI est une API Java de connexion à des annuaires, notamment des annuaires LDAP

L’exploit permet de générer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Déni de Service

Criticité

Score CVSS v3.1: 3.7

La faille est activement exploitée

Oui

Un correctif existe

Oui

Une mesure de contournement existe

Oui

Les vulnérabilités exploitées sont du type

CWE-502 :Deserialization of Untrusted Data

Détails sur l’exploitation

Pour la vulnérabilité CVE-2021-45046

Vecteur d’attaque : Network

Complexité de l’attaque : Haute

Privilèges nécessaires pour réaliser l’attaque : Non

Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non

L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Composants vulnérables.

Les versions Log4j d’Apache :

Les produits dépendants qui sont aussi concernés par cette vulnérabilité :

Solutions ou recommandations

Effectuer la mise à jour 2.12.2 (Pour Java 7), ou 2.16.0 (pour Java 9 ou plus), ou une version plus récente de Log4j d’Apache.
Une solution de contournement existe, celle-ci est détaillée ici :
https://www.kb.cert.org/vuls/id/930724

Vulnérabilité dans LOG4J d’Apache

Informations

Solutions ou recommandations

Liens