Attention : Log4j 2.17 corrige une faille de type déni de service (DoS) !

Suite à la découverte de la vulnérabilité Log4Shell au sein de la bibliothèque Log4j, la version 2.16 est sortie afin de corriger cette faille critique. Le problème, c'est que Log4j 2.17 est sortie quelques jours plus tard et cette version corrige une faille de type "déni de service".

Les problèmes continuent pour la bibliothèque Log4j ! Alors que tout le monde encourage les entreprises à passer sur la version 2.16 suite à la découverte de la faille Log4Shell (présente jusqu'à la version 2.15), il s'avère qu'une autre faille vient de voir le jour : la CVE-2021-45105.

Pour corriger cette faille de type "déni de service", une nouvelle version de Log4j a été publiée et s'apparente à une mise à jour mineure : Log4j 2.17. Néanmoins, elle apporte un correctif important pour se protéger contre la vulnérabilité CVE-2021-45105, qui hérite d'un score CVSS de 7,5.

Puisqu'il s'agit d'une faille de type déni de service, il s'avère qu'elle permet de faire planter l'application en exécutant la requête suivante :

${${::-${::-$${::-j}}}}

Cette requête permet de remplacer une chaîne de caractères et elle va créer une boucle infinie qui va permettre de faire planter l'application. Au sein du changelog de Log4j 2.17, on peut lire "Fix string substitution recursion".

Si vous venez de passer sur Log4j 2.16, je crois que vous venez de gagner le droit d'installer une nouvelle mise à jour suite à la sortie de Log4j 2.17. Vous pouvez retrouver le changelog de Log4j 2.17 sur cette page : Log4j 2.17.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3500 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.