Nouvelle vulnérabilité zero-day critique dans la bibliothèque populaire Log4j | Lire l'article

Mises à jour de la vulnérabilité Log4j

Tableau de bord des téléchargements de Log4j

Log4j_Public_2021-12-18T0052 2

Dernières informations

1/6/22:

Mardi dernier, nous avons constaté une augmentation de l'utilisation de la version 2.17.0, suivie hier, d'une hausse similaire de l'utilisation de la 2.17.1. Il est difficile d'expliquer cela puisque la version .1 est sortie il y a plus d'une semaine. Pourquoi tout le monde s'est soudainement jeté sur la version .0 si la .1 est disponible ?

Taïwan et la Chine utilisent toujours beaucoup de versions vulnérables et comme vous pouvez le voir sur le graphique en bas à gauche, c'est le cas depuis le début.

 

--Brian

1/6/22:

Mardi dernier, nous avons constaté une augmentation de l'utilisation de la version 2.17.0, suivie hier, d'une hausse similaire de l'utilisation de la 2.17.1. Il est difficile d'expliquer cela puisque la version .1 est sortie il y a plus d'une semaine. Pourquoi tout le monde s'est soudainement jeté sur la version .0 si la .1 est disponible ?

Taïwan et la Chine utilisent toujours beaucoup de versions vulnérables et comme vous pouvez le voir sur le graphique en bas à gauche, c'est le cas depuis le début.

 

--Brian

Alerte FTC relative à Log4j : sécurisez votre chaîne logistique logicielle

Alerte FTC relative à Log4j : sécurisez votre chaîne logistique logicielle

Ne pas résoudre les problèmes Log4shell entraîne des conséquences plus sérieuses que des temps d'arrêt et une atteinte à la réputation. Les régulateurs américains envisagent des poursuites judiciaires pour renforcer la sécurité.

Aperçu vidéo 2 de Log4j

Log4j Exploit Explained - Everything You Need to Know to Protect Yourself

Les entreprises doivent connaître Log4j non seulement dans le logiciel qu'elles produisent, mais aussi dans celui qu'elles utilisent. Un logiciel développé en Java est très susceptible de contenir Log4j quelque part dans sa suite.

image3-3

Critique, la vulnérabilité Log4j est encore téléchargée dans 40 % des cas

Les experts Java et de l'Apache Software Foundation de Sonatype font une nouvelle fois le point sur l'évolution de l'exploit Log4j et sur le nombre de variantes identifiées. Ils présentent également les nouvelles tendances en matière de téléchargements Log4j. 

Nos outils gratuits pour vous aider dès maintenant

Vulnerability- Scanner-icon-only-White + Color

Nexus Vulnerability Scanner

Produisez une software bill of materials et cataloguez tous les composants de votre application.

Lift-logo-icon-only-white

Sonatype Lift

Identifiez et corrigez les problèmes critiques de sécurité, de performance, de fiabilité et de style dans le code de vos développeurs.

OWASP-icon

OSS Index

Détectez les vulnérabilités divulguées publiquement et contenues dans les dépendances de votre projet.

« Cette nouvelle vulnérabilité Log4j sera probablement un nouvel événement qui marquera les mémoires dans la hiérarchie des vulnérabilités importantes. Il s'agit du cadre de journalisation le plus largement utilisé dans l'écosystème Java. »

—Brian Fox, CTO de Sonatype dans The Daily Swig

Mises à jour Sonatype

Nouvelle vulnérabilité zero-day critique dans la bibliothèque populaire Log4j

Blog

Nouvelle vulnérabilité zero-day critique dans la bibliothèque populaire Log4j 

Aide Log4Shell pour les éditeurs Central

ARTICLE

Aide Log4Shell pour les éditeurs Central

Aider la communauté open source à trouver, réparer et corriger Log4j

Blog

Aider la communauté open source à trouver, réparer et corriger Log4j

Dissection de la vulnérabilité de Log4j

Vidéo

Dissection de la vulnérabilité de Log4j

Tous les bugs de Log4j et de logback que nous connaissons jusqu'à présent et pourquoi vous DEVEZ abandonner la version 2.15

ARTICLE

Vous avez fait la mise à jour vers Log4j 2.16 ? Surprise ! Il existe un correctif DoS 2.17

Nouvelle vulnérabilité zero-day critique dans la bibliothèque populaire Log4j affectant en masse les applications

Video

Nouvelle vulnérabilité zero-day critique dans la bibliothèque populaire Log4j affectant en masse les applications

Forum communautaire Sonatype Log4j

FORUM

Forum communautaire Sonatype Log4j

Trouver et corriger Log4j avec Sonatype

Vidéo

Trouver et corriger Log4j avec Sonatype

Vous avez des questions sur Log4j ? Demandez à la communauté Sonatype.

Vous avez des questions sur Log4j ? Demandez à la communauté Sonatype.

Services de documentation et de recherche Sonatype

CVE-2021-44228 (critique) :

CVE original de log4j qui a tout déclenché et qui affecte les versions 2.x de « org.apache.logging.log4j.log4j-core » uniquement : <2.15.0 impactées.

CVE-2021-4104 (modéré) :

Variante moins sévère de CVE-2021-44228 affectant log4j 1.x uniquement et toutes les versions d'un groupe/artefact différent : « log4j:log4j » ; non applicable à « log4j-core » (il s'agit de versions 2.x).

CVE-2021-44228 (critique) :

CVE original de log4j qui a tout déclenché et qui affecte les versions 2.x de « org.apache.logging.log4j.log4j-core » uniquement : <2.15.0 impactées.

CVE-2021-4104 (modéré) :

Variante moins sévère de CVE-2021-44228 affectant log4j 1.x uniquement et toutes les versions d'un groupe/artefact différent : « log4j:log4j » ; non applicable à « log4j-core » (il s'agit de versions 2.x).

CVE-2021-45046 (ÉLEVÉ) :

Vulnérabilité DoS qui affecte les version log4j-core 2.15.0 et antérieures, mais pas 2.16.0. 

Sonatype-2021-4517 alias CVE-2021-42550 (modéré) :

Similaire à CVE-2021-4104, mais affecte « logback-classic », et « logback-core », car logback est basé sur log4j 1.x. L'identifiant Sonatype est basé sur : https://jira.qos.ch/browse/LOGBACK-1591 

CVE-2021-45046 (ÉLEVÉ) :

Vulnérabilité DoS qui affecte les version log4j-core 2.15.0 et antérieures, mais pas 2.16.0. 

Sonatype-2021-4517 alias CVE-2021-42550 (modéré) :

Similaire à CVE-2021-4104, mais affecte « logback-classic », et « logback-core », car logback est basé sur log4j 1.x. L'identifiant Sonatype est basé sur : https://jira.qos.ch/browse/LOGBACK-1591 

Sonatype-2021-4560 (élevé) :

S'applique aux versions 2.x de log4j jusqu'à et y compris 2.15.0. La version corrigée à utiliser est la 2.16.0. Vulnérabilité basée sur le blog de Praetorian. Ce communiqué résume d'autres éléments. Actuellement en procédure accélérée car la divulgation complète est en cours avec Apache. De plus amples informations seront publiées en temps utile.

Sonatype-2021-4560 (élevé) :

S'applique aux versions 2.x de log4j jusqu'à et y compris 2.15.0. La version corrigée à utiliser est la 2.16.0. Vulnérabilité basée sur le blog de Praetorian. Ce communiqué résume d'autres éléments. Actuellement en procédure accélérée car la divulgation complète est en cours avec Apache. De plus amples informations seront publiées en temps utile.

« C'est un peu comme si quelqu'un pensait que poster une lettre dans votre boîte aux lettres avec une adresse spécifique écrite dessus lui permettait d'ouvrir toutes les portes de votre maison. »

—Brian Fox, CTO de Sonatype à la BBC

Ressources provenant de la communauté des développeurs de logiciels

CVE Log4shell de Mitre
Page Log4j de la Fondation Apache avec tous les détails
CVE Log4shell de Mitre
Page Log4j de la Fondation Apache avec tous les détails
Liste des logiciels concernés compilés par le Netherlands National Cybersecurity Center
Article Gartner pour les responsables de la sécurité
Liste des logiciels concernés compilés par le Netherlands National Cybersecurity Center
Article Gartner pour les responsables de la sécurité

Envie d'essayer Sonatype ?

Sécurisez et automatisez votre chaîne logistique logicielle.