Apache livre un cinquième correctif en décembre pour colmater un bogue dans Log4j

Plus d’un chercheur en sécurité a prédit que les vulnérabilités Log4j/Log4Shell qui ont été découvertes avant les fêtes ne seraient pas les dernières.

Ils avaient raison.

Apache a livré une autre mise à jour de sécurité pour la bibliothèque de journalisation que les administrateurs doivent désormais installer dans leurs applications.

Depuis mardi, la plus récente version de Log4j qui devrait être dans les systèmes qui fonctionnent avec Java 8 est la 2.17.1.

Il s’agit de la cinquième vulnérabilité révélée depuis le 9 décembre.

Rien ne garantit que ce sera le dernier correctif à être publié, maintenant que les chercheurs en sécurité informatique accordent une attention accrue à ce risque.

La plus récente mise à jour colmate ce qui est appelé une vulnérabilité d’exécution de code à distance, désignée CVE-2021-44832, dans la version 2.17.0.

Sans ce correctif, une personne ayant la permission de modifier un fichier de configuration de journalisation log4j peut construire une configuration malveillante.

Lire l’article au complet sur le site d’IT World Canada (en anglais), une publication soeur de Direction informatique

Lire aussi :

Cybersécurité : Apache publie un troisième correctif Log4j

Log4Shell n’érode pas la confiance envers les logiciels à code source ouvert

Corriger des applications liées aux vulnérabilités Log4j peut prendre des années

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Vulnérabilité dans le moteur de conteneur CRI-O pour Kubernetes

Les administrateurs Linux qui utilisent le moteur d'exécution de conteneur CRI-O pour Kubernetes dans leurs environnements sont invités à installer immédiatement le plus récent correctif pour cette vulnérabilité grave.

Vulnérabilités critiques découvertes dans Veeam

Les responsables des technologies de l’information qui utilisent l’application de sauvegarde et reproduction de l'entreprise Veeam sont invités à appliquer immédiatement des correctifs après la découverte de vulnérabilités critiques.

Ne pas corriger un serveur est comme laisser la porte ouverte

Le serveur Exchange non corrigé d'un fournisseur de soins de santé du Canada a été exploité deux fois par des groupes de rançongiciels.

Vulnérabilité découverte dans la base de données NoSQL Cassandra d’Apache

Les administrateurs qui supervisent des installations de la base de données distribuée Cassandra d'Apache sont invités à installer la plus récente version après la découverte d'une vulnérabilité d'exécution à distance de code.

SAP, Siemens et Schneider Electric déploient des mises à jour critiques de sécurité

Des correctifs de sécurité pour des produits de quatre entreprises ont été publiés la semaine dernière, avec des appels à les installer dès que possible.