Une faille de sécurité a récemment été découverte au sein du code source de Java. Localisée dans la bibliothèque logicielle Log4j2 utilisée notamment pour l'authentification au sein des applications, la faille concernait une foule de services réputés à travers le monde parmis lesquels Amazon, iCloud, Steam, Tencent, Baidu, Twitter et bien d'autres...
La fondation Apache a toutefois rapidement proposé un patch correctif mis à disposition auprès des développeurs tiers. La faille Log4Shell est ainsi colmatée sur la plupart des services concernés.
Si la mise à jour de log4j vers une version 2.15.0 ou supérieure n'est pas possible, Cert FR indique :
Pour les applications utilisant les versions 2.10.0 et ultérieures de la bibliothèque log4j, il est également possible de se prémunir contre toute attaque en modifiant le paramètre de configuration log4j2.formatMsgNoLookups à la valeur true, par exemple lors du lancement de la machine virtuelle Java avec l’option -Dlog4j2.formatMsgNoLookups=true. Une autre alternative consiste à supprimer la classe JndiLookup dans le paramètre classpath pour éliminer le vecteur principal d’attaque (les chercheurs n’excluent pas l’existence d’un autre vecteur d’attaque).
Il est également proposé d'exploiter la vulnérabilité log4shell elle-même pour la patcher... C'est d'ailleurs ce que recommande Cybereason.
