Attention : Log4j 2.17 corrige une faille de type déni de service (DoS) !
Suite à la découverte de la vulnérabilité Log4Shell au sein de la bibliothèque Log4j, la version 2.16 est sortie afin de corriger cette faille critique. Le problème, c'est que Log4j 2.17 est sortie quelques jours plus tard et cette version corrige une faille de type "déni de service".
Les problèmes continuent pour la bibliothèque Log4j ! Alors que tout le monde encourage les entreprises à passer sur la version 2.16 suite à la découverte de la faille Log4Shell (présente jusqu'à la version 2.15), il s'avère qu'une autre faille vient de voir le jour : la CVE-2021-45105.
Pour corriger cette faille de type "déni de service", une nouvelle version de Log4j a été publiée et s'apparente à une mise à jour mineure : Log4j 2.17. Néanmoins, elle apporte un correctif important pour se protéger contre la vulnérabilité CVE-2021-45105, qui hérite d'un score CVSS de 7,5.
Puisqu'il s'agit d'une faille de type déni de service, il s'avère qu'elle permet de faire planter l'application en exécutant la requête suivante :
${${::-${::-$${::-j}}}}
Cette requête permet de remplacer une chaîne de caractères et elle va créer une boucle infinie qui va permettre de faire planter l'application. Au sein du changelog de Log4j 2.17, on peut lire "Fix string substitution recursion".
New exploit on Friday, as is tradition: Researchers have discovered Log4J version 2.16 is vulnerable to DoS via "${${::-${::-$${::-j}}}}"
More info: https://t.co/pzeWiQEa68
— vx-underground (@vxunderground) December 17, 2021
Si vous venez de passer sur Log4j 2.16, je crois que vous venez de gagner le droit d'installer une nouvelle mise à jour suite à la sortie de Log4j 2.17. Vous pouvez retrouver le changelog de Log4j 2.17 sur cette page : Log4j 2.17.
