Apache Log4j: Log4Shell

Refer: 

tunCERT/Vuln.2021-545

Version: 

1.2

Date version: 

2021-12-20

Score cvss: 

10.00

Classification: 

  • Très critique

Impact: 

  • Déni de service
  • Exécution de code arbitraire
  • Perte de confidentialité
  • Perte d'intégrité

Plateforme: 

  • Indépendant de la Plate-forme

Conséquence: 

Exécution de code arbitraire

Logiciels impactés (s) :

Apache

  • Log4j 2.0-beta9 à 2.16.0

Description: 

Des vulnérabilités ont été découvertes dans la librairie Apache Log4j Java logging library. L'exploitation de ces failles pourrait permettre à un attaquant distant d'exécuter du code arbitraire, de provoquer un déni de service et prendre le contrôle complet des serveurs vulnérables. NB: Ces failles sont activement exploitées.

Solution: 

METTRE À JOUR Apache Log4j avec la version 2.17.0
Téléchargement de la mise à jour

Lien: 

https://logging.apache.org/log4j/2.x/download.html

Identificants du problème: 

CVE-2021-44228

CVE-2021-45046

CVE-2021-45105

Documentation additionnelle: 

Bulletin de sécurité Apache
https://logging.apache.org/log4j/2.x/security.html
Bulletin nvd
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
github
https://github.com/NCSC-NL/log4shell/tree/main/software
Cisco
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
Zoom
https://explore.zoom.us/en/trust/security/security-bulletin/security-bulletin-log4j/
Oracle
https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
Intel
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00646.html
VMware
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
Apache Struts
https://struts.apache.org/announce-2021
cisa
https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
Citrix
https://support.citrix.com/article/CTX335705
Fortinet
https://www.fortiguard.com/psirt/FG-IR-21-245

Date de publication: 

2021-12-11

Référence: 

545