En première ligne LogoLe blogue de Devolutions Logo
La première ligne de défense
contre les cyberattaques et
le chaos des TI

Une vulnérabilité critique dans Log4j a été découverte

Une vulnérabilité critique dans Log4j a été découverte

Vendredi dernier, une vulnérabilité critique a été détectée dans le projet Apache log4j (CVE-2021-44228). Pour les logiciels utilisant la bibliothèque, le simple fait de journaliser une chaîne de caractères d'un format spécifique peut conduire à l'exécution de code à distance. Log4j 2.15 corrigeant ce problème, nous recommandons à nos utilisateurs de mettre à jour leurs produits touchés dès que possible.

Nous avons procédé à un examen approfondi et sommes en mesure de confirmer que les produits et services de Devolutions ne sont pas visés par cette vulnérabilité.

Détails et mesure d’atténuation des risques

LunaSec propose une excellente description de la façon dont cette vulnérabilité peut être exploitée si vous êtes curieux de connaître les détails. En résumé, il suffit de journaliser une chaîne dans un format spécifique pour qu'une application vulnérable puisse télécharger et exécuter du code arbitraire à partir d'un serveur LDAP distant. Comme log4j est la bibliothèque de journalisation standard des applications Java, un très grand nombre de systèmes et de services sont concernés.

Les projets utilisant log4j doivent être mis à jour vers la version 2.15 dès que possible. Le projet log4j fournit également d'autres mesures d'atténuation.

Nous recommandons également à nos utilisateurs de mettre à jour leurs systèmes qui sont touchés par cette vulnérabilité. Le Nationaal Cyber Security Centrum a publié une liste avec l'état des vulnérabilités pour les produits des principaux fournisseurs.

Sebastien Duquette

Bonjour, je m’appelle Sébastien et en tant que Spécialiste en sécurité des applications, j’ai pour rôle de concevoir différents moyens d’intégrer et d’améliorer la sécurité de nos produits. Pour y arriver, je dois travailler en étroite collaboration avec de nombreuses équipes de développement logiciel en plus d’offrir des formations, des outils et de sages conseils. Je crois fermement que la sécurité doit être une priorité dans toute organisation, et je suis donc très fier de travailler pour une entreprise qui a ce principe à cœur.

Devolutions offre aux professionnels des TI à travers le monde une solution complète de gestion de connexions à distance et de mots de passe.

DEVOLUTIONS.NET | 1000 Notre-Dame, Lavaltrie, QC J5T 1M1, Canada | infos@devolutions.net
Tous droits réservés © 2022 Devolutions