Log4j, une faille dans les logs Java
Une faille importante dans le gestionnaire de logs pour Java, Apache Log4j, permet d'accéder aux données des serveurs où il est installé. Une mise à jour est disponible pour les développeurs de sites et services en Java.
Apache Log4j est un service de logs, un service de description du fonctionnement d'un service (connexions, erreurs,...), pour les services Web utilisant le logiciel Java d'Oracle pour fonctionner. Créé en 2001, elle reprend le service et le fonctionnement du service de logs intégré de Java, mais peu utilisable pour le web. Elle intègre notamment les applications Java du service Apache Struts.
Mais, une faille, Log4Shell, a été découverte le 24 novembre dernier par le groupe chinois Alibaba et son unité Cloud Security Team. Il faudra attendre le 9 décembre pour une publication générale concernant cette faille. Grâce à un texte particulièrement formé, un attaquant va forcer Log4j à se connecter à un serveur web en utilisant le service interne Java Naming and Directory Interface (JNDI). Grâce au lien fourni à Log4j, la machine Java installée sur le serveur va exécuter un programme malveillant et accéder aux informations du serveur. La faille a touché de nombreux services tel que Amazon AWS, Cloudflare, Apple iCloud, Minecraft Java Edition, Valve Steam ou Tencent QQ.
Apache a développé des mises à jour pour la fonctionnalité Log4j, avec la version Log4j 2.15 au 6 décembre ou la version 2.16 du 13 décembre. La première permet de bloquer la conversion des textes de logs malveillants en commandes pour JNDI tandis que le second bloque complètement le service JDNI depuis Log4j. Mais, les pirates ont déjà commencé à exploiter la faille depuis le 1er décembre, à un niveau très élevé. En cas d'exploitation de la faille avec récupération des données personnelles, les services doivent avertir leurs clients et la CNIL, pour les services ayant une présence en France. Les données pourraient être exploitées pour des campagnes de pourriels et d'hameçonnage.
