Apache livre un cinquième correctif en décembre pour colmater un bogue dans Log4j


Howard Solomon - 29/12/2021

Plus d’un chercheur en sécurité a prédit que les vulnérabilités Log4j/Log4Shell qui ont été découvertes avant les fêtes ne seraient pas les dernières.

Ils avaient raison.

Apache a livré une autre mise à jour de sécurité pour la bibliothèque de journalisation que les administrateurs doivent désormais installer dans leurs applications.

Depuis mardi, la plus récente version de Log4j qui devrait être dans les systèmes qui fonctionnent avec Java 8 est la 2.17.1.

Il s’agit de la cinquième vulnérabilité révélée depuis le 9 décembre.

Rien ne garantit que ce sera le dernier correctif à être publié, maintenant que les chercheurs en sécurité informatique accordent une attention accrue à ce risque.

La plus récente mise à jour colmate ce qui est appelé une vulnérabilité d’exécution de code à distance, désignée CVE-2021-44832, dans la version 2.17.0.

Sans ce correctif, une personne ayant la permission de modifier un fichier de configuration de journalisation log4j peut construire une configuration malveillante.

Lire l’article au complet sur le site d’IT World Canada (en anglais), une publication soeur de Direction informatique

Lire aussi :

Cybersécurité : Apache publie un troisième correctif Log4j

Log4Shell n’érode pas la confiance envers les logiciels à code source ouvert

Corriger des applications liées aux vulnérabilités Log4j peut prendre des années




Tags: , , , , , , , , , ,
Howard Solomon

À propos de Howard Solomon

Howard Solomon est le rédacteur en chef du portail ITworldcanada.com.