Vulnérabilités : le feuilleton log4j continue
Une nouvelle vulnérabilité permettant l’exécution à distance de code a été découverte dans la librairie de journalisation log4j 2. Une nouvelle version la corrige, ce qui implique l’application de correctifs, encore une fois.
Jour après jour, de nouvelles vulnérabilités sont découvertes dans la librairie log4j de la fondation Apache. De quoi alourdir la tâche des administrateurs systèmes en pleine période de fêtes de fin d’année.
Dernière en date, la vulnérabilité référencée CVE-2021-44832 apparaît un peu moins sérieuse que celle découverte au début du mois de décembre et baptisée Log4Shell, la CVE-2021-44228, corrigée par la version 2.15.0 de la librairie de journalisation. Ce sont les conditions d'exploitation de la nouvelle vulnérabilité qui atténuent le risque qu'elle représente.
Là encore, c’est l’interface JNDI qui est concernée. Cette fois-ci, le package permettant aux application log4j d’interagir avec les annuaires, l’extension JNDILookup, n’est pas affecté. La fondation Apache explique qu’il s’agit d’un autre composant permettant l’interaction avec des bases de données : « les versions 2.0-beta 7 à 2.17.0 (à l’exception des releases de correction de sécurité 2.3.2 et 2.12.4) sont vulnérables à des attaques en exécution de code à distance lorsqu’un attaquant disposant des autorisations pour modifier le fichier de configuration de journalisation peut construire une configuration malicieuse utilisant un JDBC Appender avec une source de données faisant référence à une URI JNDI pouvant exécuter du code à distance ». La mise à jour log4j2 2.17.1 corrige cette vulnérabilité.
La découverte de cette nouvelle vulnérabilité s’inscrit dans un véritable feuilleton démarré avec celle de Log4Shell au début du mois de décembre, notamment exploitée dans le cadre d’attaques impliquant le déploiement de ransomware.
La librairie log4j2 est utilisée dans de nombreuses applications, à façon, open source, ou encore commerciales sur étagère. La découverte de la vulnérabilité CVE-2021-44228 n’a pas manqué d’attirer une attention toute nouvelle sur un projet qui, malgré son importance, profité que de très peu de soutiens.
L’un des membres de la fondation Apache impliqués, Volkan Yazici, a d’ailleurs appelé les bonnes volontés, le 10 décembre, à s’impliquer dans le développement de log4j2 ou, à tout le moins, à soutenir les développeurs qui y contribuent.
Et cela commence par Ralph Goers, architecte logiciel, qui indiquait, il y bientôt trois semaines, travailler sur log4j2 et d’autres projets open source « sur son temps libre ». De nombreuses voix se sont élevées, dans la foulée de la découverte de la vulnérabilité Log4Shell, à réformer la gestion des projets open source et, en particulier, leur maintenance parce qu’à leurs yeux, la situation « n’est pas durable ».