Vulnérabilité de sécurité critique dans la bibliothèque de journalisation Java Log4j

La semaine dernière, une vulnérabilité de sécurité dans la bibliothèque de journalisation Java Log4j, très répandue, a été rendue publique. Elle permet aux pirates d'exécuter des codes malveillants sur les systèmes concernés.

Log4j est une bibliothèque de journalisation pour les applications Java. Elle sert à consigner les événements survenant lors de l'exploitation du serveur.

Les versions 2.0 à 2.14.1 sont concernées par cette vulnérabilité de sécurité. Les versions plus anciennes ne sont certes pas concernées selon l'état actuel des connaissances, mais devraient être mises à jour vers une version non vulnérable.

Nous avons déjà pris des mesures de sécurité pour empêcher l'exploitation de la faille de sécurité dans notre réseau. De nombreux systèmes ont déjà été contrôlés et, le cas échéant, nous avons appliqué les mises à jour de sécurité correspondantes.

Attention

Si vous avez acheté un produit serveur avec accès root qui utilise une version affectée de log4j, vous devez mettre à jour vous-même les applications et le système d'exploitation concernés, car IONOS n'a pas accès à ces systèmes. Il en va de même si vous exécutez vos propres installations Java sur d'autres systèmes. Veillez à ce que la mise à jour soit effectuée immédiatement, dès que les mises à jour de sécurité correspondantes sont mises à disposition par les fabricants.

L'Apache Software Foundation a déjà publié la version 2.16.0 de Log4j et donne également des indications sur la manière de protéger provisoirement les systèmes concernés. Veuillez toutefois noter que vous devrez adapter toutes les applications qui utilisent Log4j.

C'est pourquoi nous vous recommandons de rechercher sur vos serveurs les instances vulnérables de la bibliothèque Log4J. Vous pouvez utiliser le logiciel suivant à cet effet :

https://github.com/mergebase/log4j-detector


Vous trouverez de plus amples informations ici :

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228

https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

https://ubuntu.com/security/CVE-2021-44228

https://security-tracker.debian.org/tracker/CVE-2021-44228

https://www.suse.com/security/cve/CVE-2021-44228.html