Cybersécurité : Apache publie un troisième correctif Log4j

La crise liée à la vulnérabilité Log4j se poursuit, avec des développements presque chaque jour, dont la découverte d’un nouveau vecteur d’attaque.

Image : Getty

Parmi les derniers développements : 

Apache a publié une troisième mise à jour pour corriger les bogues dans la bibliothèque de journalisation basée sur le langage Java pour les applications à code source ouvert.

Une nouvelle méthode a été découverte par des chercheurs de la firme Blumira qui peut être utilisée pour compromettre les systèmes informatiques vulnérables aux bogues de la bibliothèque.

La vulnérabilité, connue par certains chercheurs sous le nom de Log4Shell ou LogJam, serait utilisée pour déployer des rançongiciels de type TellYouThePass, une famille de rançongiciels ancienne et inactive.

Le problème est si sérieux que la Cybersecurity and Infrastructure Security Agency (CISA) aux États-Unis a demandé aux agences fédérales américaines d’oublier la date limite du 24 décembre pour la correction ou l’atténuation de leurs systèmes informatiques, elles doivent le faire dès que possible.

Lire l’article au complet sur le site d’IT World Canada (en anglais), une publication soeur de Direction informatique

Lire aussi :

Log4Shell n’érode pas la confiance envers les logiciels à code source ouvert

Corriger des applications liées aux vulnérabilités Log4j peut prendre des années

Mieux vaut prévenir que guérir en numérique aussi

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Vulnérabilité découverte dans la base de données NoSQL Cassandra d’Apache

Les administrateurs qui supervisent des installations de la base de données distribuée Cassandra d'Apache sont invités à installer la plus récente version après la découverte d'une vulnérabilité d'exécution à distance de code.

Agents conversationnels : Botpress revient sur 2021

Selon Botpress, une entreprise en démarrage basée à Québec qui développe une plateforme à code source ouvert de création d’agents conversationnels, l’utilisation de sa plateforme a doublé en 2021.

Recourir aux logiciels ouverts requiert agilité et vigilance

Les entreprises qui utilisent le code source ouvert ont le devoir d'agir vite quand des bogues sont trouvés, selon Apache.

La programmation à code source ouvert doit-elle être rémunérée?

Un développeur contestataire de codes source ouverts a soulevé des questions sur la rémunération et l’éthique.

Brèves-café — LG rejoint IBM Quantum Network; et plus

Les brèves-café sont des résumés des dernières nouvelles, des entrevues et des balados d’IT World Canada (ITWC).