Vulnérabilités dans Chainsaw et JMSSink d’Apache log4J

Date de publication :

Ces deux vulnérabilités concernent un problème de type « désérialisation de données non sécurisée ». La sérialisation consiste à convertir une structure de données exportable en série de bits à des fins de stockage ou de transport. La désérialisation est le processus inverse. Un attaquant peut intégrer des bits malveillants dans le processus de désérialisation si celui-ci n’est pas protégé. Lorsque les bits malveillants sont convertis en données pour la programmation, ils permettent l’exécution de code arbitraire.

 

CVE-2022-23307[Score CVSS v3.1: 9.8]

Pour cette première vulnérabilité, le problème de désérialisation non sécurisée est localisé dans l’outil logiciel Chainsaw du système de journalisation Apache Log4J. Il est possible d’utiliser des requêtes malveillantes pour compromettre cet outil. L’exploitation de cette vulnérabilité par un attaquant distant et non authentifié permet l’exécution de code arbitraire sur le système.

 

CVE-2022-23302[Score CVSS v3.1: 8.8]

Pour cette seconde vulnérabilité, le problème de désérialisation non sécurisée est localisé dans le gestionnaire d’évènements JMSSink du système de journalisation Apache Log4J. Il est possible d’utiliser des requêtes malveillantes pour compromettre le gestionnaire. L’exploitation de cette vulnérabilité par un attaquant distant et authentifié permet l’exécution de code arbitraire sur le système.

 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

Criticité

    Score CVSS v3.1: 9.8 max

La faille est activement exploitée

    Non

Un correctif existe

    Oui

Une mesure de contournement existe

    Non

Les vulnérabilités exploitées sont du type    

    CWE-502 : Deserialization of Untrusted Data

Détails sur l’exploitation

Pour la CVE-2022-23307 :

    Vecteur d’attaque : Réseau

    Complexité de l’attaque : Faible

    Privilèges nécessaires pour réaliser l’attaque : Aucun

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

 

Pour la CVE-2022-23302 :

    Vecteur d’attaque : Réseau

    Complexité de l’attaque : Faible

    Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

 

Composants vulnérables.

Pour la CVE-2022-23307 :

    Apache Chainsaw 2.0.0

    Apache Log4j 1.2

Pour la CVE-2022-23302 :

    Apache Log4j 1.2

 

 

Solutions ou recommandations

Pour la CVE-2022-23307 :

  • Effectuer la mise à jour Apache Log4J vers la version 2.0 ou toutes autres versions plus récentes.
  • Effectuer la mise à jour Apache Chainsaw vers la version 2.1.0 ou toutes autres versions plus récentes.

 

Pour la CVE-2022-23302 :

  • Effectuer la mise à jour Apache Log4J vers la version 2.0 ou toutes autres versions plus récentes.

 

Liens