CKFORUM
News Problème de sécurité a été détecté dans la très populaire bibliothèque Log4j - Version imprimable

+- CKFORUM (https://blog.ckforum.com)
+-- Forum : Autres (https://blog.ckforum.com/forum-9.html)
+--- Forum : News (https://blog.ckforum.com/forum-35.html)
+--- Sujet : News Problème de sécurité a été détecté dans la très populaire bibliothèque Log4j (/thread-660.html)



Problème de sécurité a été détecté dans la très populaire bibliothèque Log4j - yoyo - 15-12-2021

   

Il y a quelques jours, un problème de sécurité a été détecté dans la très populaire bibliothèque Log4j. La bibliothèque Log4j, l'un des centaines de produits Apache Foundation, permet aux programmeurs Java d'intégrer leurs rapports, sans avoir besoin d'un codage séparé et avec un format unique. Ce problème de sécurité qui permet à l'exécution de code à distance d'attaquer peut avoir le risque le plus élevé de 10 sur 10.

Presque toutes les applications Java qui fournissent un service sur le réseau utilisent cette bibliothèque pour se connecter aux administrateurs réseau et aux administrateurs système. Donc, si vous utilisez un service basé sur Java, assurez-vous de lire la documentation de votre fabricant de logiciels pour voir ce que le fabricant a à offrir. a à offrir et téléchargez et installez le correctif ou la mise à jour fournis dès que possible pour résoudre le problème.

Toutes les principales sociétés de logiciels du monde, y compris VMware, Adobe, ManageEngine et ن, sont impliquées dans le problème et travaillent sur une solution pour leurs logiciels et surveillent en permanence pour voir s'il y a un problème pour leurs utilisateurs ou non.

Le géant de l'Internet Cloudflare résiste également de toutes ses forces aux attaques et tente de protéger ses utilisateurs contre ce trou.

La solution Apache elle-même consiste à passer à la version 2.16 (ou 2.12.2 pour Java 7), mais comme il s'agit d'un dommage paternaliste pour une bibliothèque installée dans le cadre d'un autre logiciel, vous devrez attendre que le fabricant du logiciel le mette à niveau pour vous. Si vous utilisez un logiciel qui ne peut pas être mis à jour pour d'autres raisons, supprimez toute la classe vulnérable :

zip -q -d log4j-core - * .jar org / apache / logging / log4j / core / lookup / JndiLookup.class

En particulier, VMware vCenter, par exemple, est vulnérable et VMware travaille sur un correctif pour résoudre le problème, et c'est maintenant suggéré sur cette page. .

Étant donné que le trou concerne JNDI, ou Java Naming and Directory Interface, la suggestion actuelle d'Adobe pour le produit Connect est de désactiver la recherche LDAP pour le moment .

D'autres grandes entreprises, telles que HPE, Dell et ار, examinent également leurs produits, toutes les pages consacrées de leurs sites Web informant leurs utilisateurs de l'avancement de l'examen.
Nous surveillons à notre tour différents produits et dès que le correctif de sécurité sera fourni, nous le fournirons à nos chers amis et collègues.

Pendant ce temps, les fabricants préparent leurs correctifs de sécurité, éventuellement en restreignant l'accès aux services vulnérables et en n'autorisant la connectivité que pour l'essentiel ; Minimiser la surface d'attaque liée à ces services.

plus d'infos sur : 

https://translate.google.com/website?sl=auto&tl=fr&u=https://nvd.nist.gov/vuln/detail/CVE-2021-45046
https://nvd-nist-gov.translate.goog/vuln/detail/CVE-2021-44228?_x_tr_sl=auto&_x_tr_tl=fr&_x_tr_hl=fr