Faille de sécurité Log4Shell Log4J

Castelaing · Décembre 19, 2021, 10:29

Bonjour,
Je vois dans la presse une rumeur de faille de sécurité « Log4Shell » qui serai lier au paquet appache log4j.

De mon coté j’ai trouver sur Github des outils :
Par exemple : https://github.com/Neo23x0/log4shell-detector

Mais cette menace de sécurité informatique est elle un fake dans un projet de financement ?
Ou une réel faille de sécurité des systèmes informatiques ?
ANSSI à l’air de confirmé : https://www.ssi.gouv.fr/publication/lanssi-alerte-sur-la-faille-de-securite-log4shell/
Il y a même de la doc technique (issus de la com lien précédent)
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
Mais qui à encore confiance en l’Etat pour la vérité ?
Pour moi c’est juste de la com pour faire parler d’eux.

Quand on regarde les détails on tombe sur les indicateurs qualité RedHat
recherchant leur « CVE-2021-45046 »
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-951/

Nevjoia · Décembre 20, 2021, 9:42

Euh… Moi. Dans une certaine mesure. Il ne faut pas confondre les politiques et l’Etat, et il ne faut pas non plus faire de généralisation abusive.

Pour le reste, même si j’ai des bases en informatiques, elles sont largement insuffisantes pour que je donne mon avis sur le sujet, donc meh

djjudjju25 · Décembre 25, 2021, 12:32

Bonjour, il s’agit d’une vulnérabilité qui permet a un attaquant d’exécuter du code Java sur un serveur avec la vulnérabilité. Il y a déjà des exemples qui tournent en ligne sur comment exploiter cette vulnérabilité. Pour exploitez la vulnérabilité, il faut arriver à générer un log d’erreur sur la machine que vous attaquez qui contienne une suite de caractère précis.

Si je peux exécuter du code Java sur un serveur distant, alors je peux installer un shell sur ce serveur (une console) et faire a peu près tout ce que je veux dessus. C’est à ça que l’outil log4shell que vous mentionnez sert. Il manquera peut être les droits administrateurs a l’attaquant sur la machine mais bon, c’est déjà très problématique. A priori si un attaquant arrive à hacker le serveur de cette façon, il peut accéder à la base de données, supprimer tous les fichiers auxquels il a accès, etc…

Je travaille en tant que développeur informatique dans un établissement public, et on a dû mettre à jour toutes les librairies log4j sur nos serveurs Java en catastrophe. Donc je peux vous dire que la menace est prise très au serieux au sein des entreprises.