Nouvelle vulnérabilité zero-day critique dans la bibliothèque populaire Log4j | Lire l'article

Mises à jour de la vulnérabilité Log4j

Tableau de bord des téléchargements de Log4j

Log4j_Public_2021-12-18T0052 2

Dernières informations

1/6/22:

Mardi dernier, nous avons constaté une augmentation de l'utilisation de la version 2.17.0, suivie hier, d'une hausse similaire de l'utilisation de la 2.17.1. Il est difficile d'expliquer cela puisque la version .1 est sortie il y a plus d'une semaine. Pourquoi tout le monde s'est soudainement jeté sur la version .0 si la .1 est disponible ?

Taïwan et la Chine utilisent toujours beaucoup de versions vulnérables et comme vous pouvez le voir sur le graphique en bas à gauche, c'est le cas depuis le début.

 

--Brian

1/6/22:

Mardi dernier, nous avons constaté une augmentation de l'utilisation de la version 2.17.0, suivie hier, d'une hausse similaire de l'utilisation de la 2.17.1. Il est difficile d'expliquer cela puisque la version .1 est sortie il y a plus d'une semaine. Pourquoi tout le monde s'est soudainement jeté sur la version .0 si la .1 est disponible ?

Taïwan et la Chine utilisent toujours beaucoup de versions vulnérables et comme vous pouvez le voir sur le graphique en bas à gauche, c'est le cas depuis le début.

 

--Brian

Alerte FTC relative à Log4j : sécurisez votre chaîne logistique logicielle

Alerte FTC relative à Log4j : sécurisez votre chaîne logistique logicielle

Ne pas résoudre les problèmes Log4shell entraîne des conséquences plus sérieuses que des temps d'arrêt et une atteinte à la réputation. Les régulateurs américains envisagent des poursuites judiciaires pour renforcer la sécurité.

LIRE LA SUITE
Aperçu vidéo 2 de Log4j

Log4j Exploit Explained - Everything You Need to Know to Protect Yourself

Les entreprises doivent connaître Log4j non seulement dans le logiciel qu'elles produisent, mais aussi dans celui qu'elles utilisent. Un logiciel développé en Java est très susceptible de contenir Log4j quelque part dans sa suite.

Regarder
image3-3

Critique, la vulnérabilité Log4j est encore téléchargée dans 40 % des cas

Les experts Java et de l'Apache Software Foundation de Sonatype font une nouvelle fois le point sur l'évolution de l'exploit Log4j et sur le nombre de variantes identifiées. Ils présentent également les nouvelles tendances en matière de téléchargements Log4j. 

Regarder 

Nos outils gratuits pour vous aider dès maintenant

Vulnerability- Scanner-icon-only-White + Color

Nexus Vulnerability Scanner

Produisez une software bill of materials et cataloguez tous les composants de votre application.

ANALYSER
Lift-logo-icon-only-white

Sonatype Lift

Identifiez et corrigez les problèmes critiques de sécurité, de performance, de fiabilité et de style dans le code de vos développeurs.

ESSAYER GRATUITEMENT
OWASP-icon

OSS Index

Détectez les vulnérabilités divulguées publiquement et contenues dans les dépendances de votre projet.

EN SAVOIR PLUS

« Cette nouvelle vulnérabilité Log4j sera probablement un nouvel événement qui marquera les mémoires dans la hiérarchie des vulnérabilités importantes. Il s'agit du cadre de journalisation le plus largement utilisé dans l'écosystème Java. »

—Brian Fox, CTO de Sonatype dans The Daily Swig

Mises à jour Sonatype

Nouvelle vulnérabilité zero-day critique dans la bibliothèque populaire Log4j

Blog

Nouvelle vulnérabilité zero-day critique dans la bibliothèque populaire Log4j 

LIRE LA SUITE
Aide Log4Shell pour les éditeurs Central

ARTICLE

Aide Log4Shell pour les éditeurs Central

LIRE LA SUITE
Aider la communauté open source à trouver, réparer et corriger Log4j

Blog

Aider la communauté open source à trouver, réparer et corriger Log4j

LIRE LA SUITE
Dissection de la vulnérabilité de Log4j

Vidéo

Dissection de la vulnérabilité de Log4j

Regarder
Tous les bugs de Log4j et de logback que nous connaissons jusqu'à présent et pourquoi vous DEVEZ abandonner la version 2.15

ARTICLE

Vous avez fait la mise à jour vers Log4j 2.16 ? Surprise ! Il existe un correctif DoS 2.17

LIRE LA SUITE
Nouvelle vulnérabilité zero-day critique dans la bibliothèque populaire Log4j affectant en masse les applications

Video

Nouvelle vulnérabilité zero-day critique dans la bibliothèque populaire Log4j affectant en masse les applications

Regarder
Forum communautaire Sonatype Log4j

FORUM

Forum communautaire Sonatype Log4j

S'inscrire
Trouver et corriger Log4j avec Sonatype

Vidéo

Trouver et corriger Log4j avec Sonatype

LIRE LA SUITE

Vous avez des questions sur Log4j ? Demandez à la communauté Sonatype.

DEMANDER

Vous avez des questions sur Log4j ? Demandez à la communauté Sonatype.

DEMANDER

Services de documentation et de recherche Sonatype

CVE-2021-44228 (critique) :

CVE original de log4j qui a tout déclenché et qui affecte les versions 2.x de « org.apache.logging.log4j.log4j-core » uniquement : <2.15.0 impactées.

CVE-2021-4104 (modéré) :

Variante moins sévère de CVE-2021-44228 affectant log4j 1.x uniquement et toutes les versions d'un groupe/artefact différent : « log4j:log4j » ; non applicable à « log4j-core » (il s'agit de versions 2.x).

CVE-2021-44228 (critique) :

CVE original de log4j qui a tout déclenché et qui affecte les versions 2.x de « org.apache.logging.log4j.log4j-core » uniquement : <2.15.0 impactées.

CVE-2021-4104 (modéré) :

Variante moins sévère de CVE-2021-44228 affectant log4j 1.x uniquement et toutes les versions d'un groupe/artefact différent : « log4j:log4j » ; non applicable à « log4j-core » (il s'agit de versions 2.x).

CVE-2021-45046 (ÉLEVÉ) :

Vulnérabilité DoS qui affecte les version log4j-core 2.15.0 et antérieures, mais pas 2.16.0. 

Sonatype-2021-4517 alias CVE-2021-42550 (modéré) :

Similaire à CVE-2021-4104, mais affecte « logback-classic », et « logback-core », car logback est basé sur log4j 1.x. L'identifiant Sonatype est basé sur : https://jira.qos.ch/browse/LOGBACK-1591 

CVE-2021-45046 (ÉLEVÉ) :

Vulnérabilité DoS qui affecte les version log4j-core 2.15.0 et antérieures, mais pas 2.16.0. 

Sonatype-2021-4517 alias CVE-2021-42550 (modéré) :

Similaire à CVE-2021-4104, mais affecte « logback-classic », et « logback-core », car logback est basé sur log4j 1.x. L'identifiant Sonatype est basé sur : https://jira.qos.ch/browse/LOGBACK-1591 

Sonatype-2021-4560 (élevé) :

S'applique aux versions 2.x de log4j jusqu'à et y compris 2.15.0. La version corrigée à utiliser est la 2.16.0. Vulnérabilité basée sur le blog de Praetorian. Ce communiqué résume d'autres éléments. Actuellement en procédure accélérée car la divulgation complète est en cours avec Apache. De plus amples informations seront publiées en temps utile.

Sonatype-2021-4560 (élevé) :

S'applique aux versions 2.x de log4j jusqu'à et y compris 2.15.0. La version corrigée à utiliser est la 2.16.0. Vulnérabilité basée sur le blog de Praetorian. Ce communiqué résume d'autres éléments. Actuellement en procédure accélérée car la divulgation complète est en cours avec Apache. De plus amples informations seront publiées en temps utile.

« C'est un peu comme si quelqu'un pensait que poster une lettre dans votre boîte aux lettres avec une adresse spécifique écrite dessus lui permettait d'ouvrir toutes les portes de votre maison. »

—Brian Fox, CTO de Sonatype à la BBC

Ressources provenant de la communauté des développeurs de logiciels

CVE Log4shell de Mitre
Page Log4j de la Fondation Apache avec tous les détails
CVE Log4shell de Mitre
Page Log4j de la Fondation Apache avec tous les détails
Liste des logiciels concernés compilés par le Netherlands National Cybersecurity Center
Article Gartner pour les responsables de la sécurité
Liste des logiciels concernés compilés par le Netherlands National Cybersecurity Center
Article Gartner pour les responsables de la sécurité

Envie d'essayer Sonatype ?

Sécurisez et automatisez votre chaîne logistique logicielle.

Nous contacter
Twitter LinkedIn Facebook YouTube GitHub
Produits
OUTILS GRATUITS
Solutions
Ressources
Portail client
Company
SON_logo_white@2x copy trimmed

Sonatype Headquarters - 8161 Maple Lawn Blvd #250, Fulton, MD 20759

Tysons Office - 8281 Greensboro Drive – Suite 630, McLean, VA 22102

Australia Office - 60 Martin Place Level 1, Sydney, NSW 2000, Australia

London Office -168 Shoreditch High Street, E1 6HU London

Copyright © 2008-présent, Sonatype Inc. Tous droits réservés. Inclut les codes de tiers listés ici. Sonatype et Sonatype Nexus sont des marques déposées de Sonatype, Inc. Apache Maven et Maven sont des marques déposées d'Apache Software Foundation. M2Eclipse est une marque déposée d'Eclipse Foundation. Toutes les autres marques déposées sont la propriété de leur détenteur respectif.

Conditions de service    Politique de confidentialité    Event Terms and Conditions   Do Not Sell My Personal Information