Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 15/12/2021, à 12:58

heronheronpetitpatapon

Faille log4shell

Bonjour à tous,
Je voudrais avoir votre avis sur la faille découverte récemment, Log4Shell avec la bibliothèque Apache log4j. Il parait que Linux est concerné, mais il semble que ce soit uniquement les serveurs sous Apache.
https://blog.checkpoint.com/2021/12/11/ … ns-2-14-1/
https://www.01net.com/actualites/la-fai … 52576.html

En mot, quel risque pour les ordinateurs sous linux.
Merci
Heronheronpetitpatapon

Dernière modification par heronheronpetitpatapon (Le 15/12/2021, à 13:00)


...Ubuntu Rocks....

Hors ligne

#2 Le 15/12/2021, à 14:23

Vobul

Re : Faille log4shell

Salut,

Il n'y a pas de raisons d'être inquiet pour ton ordinateur personnel. C'est surtout les serveurs Apache avec Java avec Log4J qui sont impactés.


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#3 Le 15/12/2021, à 17:20

Nuliel

Re : Faille log4shell

Bonjour,
C'est une trèèèèès grosse faille, d'une part parce que c'est une RCE (remote command execution), que ça demande 0 prérequis, que c'est très simple à exploiter, c'est tellement important que le score CVSS est de 10/10, ce qui est extrêmement rare. En fait les applications exposées sur internet notamment gardent des traces de ce qu'il s'est passé, c'est ce qu'on appelle les logs. Si un attaquant réussit à inscrire un texte particulier dans des logs traités par log4j pour une application java (ce qui n'est pas compliqué en soi), alors si log4j est vulnérable, ça peut mener à une compromission si c'est exploité... (je crois que ça dépend aussi de la version de java)
Cette faille n'est pas limitée aux serveurs apache, elle est valable pour tous les logiciels en java qui utilisent log4j (c'est à dire globalement tous, puisque log4j est la référence pour produire des logs).
Il y a énormément de programmes vulnérables, une liste assez longue ici de l'état de programmes utilisant log4j : https://github.com/NCSC-NL/log4shell/tree/main/software
Après cette attaque vise surtout les machines exposées sur internet, pas les particuliers.
Comme toujours, il faut faire les maj smile

Hors ligne

#4 Le 15/12/2021, à 19:42

frenchy82

Re : Faille log4shell

Bonjour,

Comme toujours, il faut faire les maj

Une maj corrigerait cette faille?

Hors ligne

#5 Le 15/12/2021, à 19:54

Nuliel

Re : Faille log4shell

Oui, la version 2.16 de log4shell corrige le problème en désactivant directement le JNDI par défaut, voir https://www.cert.ssi.gouv.fr/alerte/CER … 1-ALE-022/ et https://www.govcert.ch/blog/zero-day-ex … ary-log4j/ (l'image du deuxième explique bien comment ça fonctionne). A noter que les payload sont obfusqués, donc le WAF peut laisser passer des payload bien obfusqués, donc c'est pas une bonne solution.
En réalité, il faut que les logiciels impactés soient patchés et mis à jour, notamment ceux qui embarquent directement dans un .jar une version vulnérable de log4shell. Sans compter les logiciels plus maintenus, là il y a aussi des méthodes plus ou moins crades (notamment une consistant à supprimer la classe LDAP, mais je crois qu'on peut faire avec autre chose que LDAP). Bref il y a d'autres méthodes que les maj quand elles ne sont pas possibles.

Dernière modification par Nuliel (Le 15/12/2021, à 19:59)

Hors ligne

#6 Le 15/12/2021, à 20:26

frenchy82

Re : Faille log4shell

Merci pour toutes ces explications.
J'ai de la lecture pour la soirée smile

Hors ligne

#7 Le 15/12/2021, à 20:30

Nuliel

Re : Faille log4shell

En fait j'ai bossé sur ce sujet ce matin et c'est les liens que j'ai utilisé pour faire une mini présentation (c'est toujours intéressant de regarder les publications de CERT, ici français et suisse)

Hors ligne

#8 Le 20/12/2021, à 09:31

Qid

Re : Faille log4shell

heronheronpetitpatapon a écrit :

Bonjour à tous,
Je voudrais avoir votre avis sur la faille découverte récemment, Log4Shell avec la bibliothèque Apache log4j.

J'interviens juste pour poser là une vidéo de 01net que je viens de regarder sur le sujet : elle redonne les bases du problème ainsi que le rappel de base qui devrait pourtant être acquis par tout le monde : mettez vos serveurs à jour !


"GNU/Linux c'est que du bon mais M$ Windows ce n'est pas si mal"
Référent technique Ubuntu d'un Groupe d'Utilisateur du Libre
plus d'info sur mon profil

Hors ligne

#9 Le 05/01/2022, à 19:11

heronheronpetitpatapon

Re : Faille log4shell

Ubuntu.com a écrit :

To apply all available fixes to your Ubuntu system type the following commands in a terminal:

$ sudo ua fix CVE-2021-44228
$ sudo ua fix CVE-2021-45046
$ sudo ua fix CVE-2021-45105

source : https://ubuntu.com/blog/log4j-vulnerability-2021

Dernière modification par heronheronpetitpatapon (Le 05/01/2022, à 19:11)


...Ubuntu Rocks....

Hors ligne

#10 Le 05/01/2022, à 21:06

MicP

Re : Faille log4shell

Bonjour (Enfin … pas pour les serveurs qui plantent un peu partout en ce moment, ni pour celui qui a pris le risque de prévenir apache de cette faille.)

Il y en a encore qui, après leur avoir transmis les liens (qui étaient mis à jour au 22 décembre 2021) ne semblent pas encore mesurer l'impact que ça peut avoir,
et préfèrent rester dans le deni ("…Hors sujet …") sans même prendre le temps de vérifier quelle application va être utilisée sur le serveur apache,
et continuent encore dans ce deni ("…les remarques sur log4j étaient donc tout à fait déplacées…")
sans n'avoir pas non plus pris la peine de vérifier quelle version de serveur apache est utilisée ni comment il a été installé (depuis quelle source), ni si il a été bien mis à jour.

Je trouve que c'est vraiment dommage, mais bon, j'aurai essayé …

=======
Aux dernières nouvelles : [Mise à jour 05 janvier 2021] Précisions sur la CVE-2021-44832

=======
Voir aussi ce qui arrive à celui qui a informé apache de la faille : https://www.protocol.com/bulletins/alibaba-cloud-log4j

Hors ligne

#11 Le 05/01/2022, à 21:36

Nuliel

Re : Faille log4shell

@MicP: tu confonds le serveur httpd fourni par apache (qu'on résume souvent à serveur apache) et les librairies de java par apache (ou tomcat aussi). D'ailleurs httpd n'est pas codé en java (voir les langages à droite sur https://github.com/apache/httpd ), donc a fortiori n'utilise pas log4j. Tu peux voir aussi https://serverfault.com/questions/10861 … 2021-44228 qui dit exactement ce que je viens de dire aussi. Voilà pourquoi bruno a dit que c'était déplacé, c'est parce que le serveur apache (httpd) n'est pas vulnérable.

Sinon pour en revenir aux commandes de heronheronpetitpatapon, ua = ubuntu-advantage, et le man

man de ua a écrit :

       fix <security_issue>
              Fix a CVE or USN on the  system  by  upgrading  the  appropriate
              package(s)

En d'autres termes c'est pour mettre à jour uniquement les packages

Dernière modification par Nuliel (Le 05/01/2022, à 21:37)

Hors ligne

#12 Le 05/01/2022, à 22:18

MicP

Re : Faille log4shell

… tu confonds le serveur httpd fourni par apache (qu'on résume souvent à serveur apache) et les librairies de java par apache (ou tomcat aussi) …

Non, je ne fais pas cette confusion, je sais ce qu'est une librairie, et ce qu'est Java,
et je sais aussi, même si ce n'est pas souvent le cas, que l'on peut utiliser des librairies java pré-compilées depuis PHP.

Mais je suis incapable d'affirmer qu'une alerte concerne ou non une application tant que je ne sais pas de quelle application il s'agit
et incapable d'affirmer qu'une alerte est pertinente ou pas tant que je ne sais pas ce qui a été vraiment installé, comment, et depuis quelle source, quand on parle d'un "serveur apache",

J'avoue que j'ai, par nature et expérience, beaucoup de mal avec l'implicite dans le domaine de l'informatique (et pas seulement d'ailleurs, mais ça c'est Hors sujet),
et d'autant plus de mal quand il s'agit de sécurité, mais j'apprendrais à m'en contenter pour être plus sociable,
en espérant, qu'avec un peu de chance, il n'y ait finalement aucun problème de sécurité. smile

=======
Je pense que nous pouvons tous dire un très très grand merci à Chen Zhaojun (tant que c'est encore possible). <- Désolé, ce lien n'est plus accessible (EDIT du 08/01/2022)

=======
EDIT : Il y a eu une mise à jour hier 7 janvier 2022 du Bulletin d'alerte du CERT-FR référence CERTFR-2021-ALE-022 concernant la Vulnérabilité dans Apache Log4j

Dernière modification par MicP (Le 08/01/2022, à 22:12)

Hors ligne

#13 Le 06/01/2022, à 10:09

bruno

Re : Faille log4shell

@MicP : dans le fil où tu avais évoqué ces failles, c'était hors-sujet. J'insiste. Il s'agissait d'un débutant en administration de serveur qui cherchait des pistes pour améliorer la sécurité de son service (en PHP) utilisant Apache.
Je considère qu'il est inutile d'alarmer les demandeurs novices qui n'ont certainement pas installé de services basés sur Java.

Concernant ces failles sur une machine utilisant des applications Java, les mises à jour sont bien entendu indispensables mais cela ne veut pas dire que l'on a corrigé le problème. La bibliothèque log4j est susceptible d'être embarquée à tout un tas d'endroits, y compris à l’intérieur de fichier jar (voir des jar dans des jar wink ). Il faut donc un véritable audit du système pour s'en prémunir.

Hors ligne