Jamais une bibliothèque d’Apache n’aura autant fait parler d’elle. Apache log4j (journalisation) souffre d’une faille critique, révélée ce 9 décembre. Et comme si cela ne suffisait pas, un exploit a été publié.
La faille critique révélée ces derniers jours se trouve dans la bibliothèque de logs log4j 2, qui est gérée par Apache. L’avis de sécurité a été publié par Amazon et il sème la panique : Twitter, Tesla, Apple, Steam, Minecraft, tout le monde semble concerné. Sauf peut-être OnlyOffice, qui n’a pas tardé à réagir. L’éditeur européen déclare en effet : « OnlyOffice Workspace dans le cloud (Cloud Service) n’utilise pas la bibliothèque log4j. C’est pourquoi il n’est pas affecté par la grande faille de sécurité de log4j.
Le service Elasticsearch implémenté dans le cloud a déjà été mis à jour par Amazon Web Services et n’est pas non plus affecté par le problème mentionné« .
Quels sont les risques exactement ? Réponse dans un bulletin du CERT-FR : « Exécution de code arbitraire à distance ». Une nouvelle version 2.16.0 a été publiée le 13 décembre, qui corrige une nouvelle faille découverte : « Elle complète la correction en désactivant le JNDI et la fonction de Lookup, qui doivent désormais être explicitement activées. »
En cas de difficulté de migration vers cette version, des contournements sont possibles temporairement, soit « en modifiant le format des évènements à journaliser avec la syntaxe %mnolookups pour les données qui seraient fournies par l’utilisateur » (à partir de la version 2.7), soit « en modifiant le paramètre de configuration log4j2.formatMsgNoLookups à la valeur true » (version 2.1).
Le Centre publie également une mise à jour de ses recommandations : « La mise en place de filtres au niveau de vos pare-feux applicatifs pour bloquer les tentatives d’exploitation de cette vulnérabilité peut constituer une première mesure d’urgence mais elle reste insuffisante : les attaquants utilisent différentes techniques d’obscurcissement des données injectées pour contourner ces filtres. »
