...
Objet | Log4shell - CVE-2021-44228 vis à vis des applications ESUP |
Référence | ESUP-2021-AVI-001 |
Date de la première version | 12 décembre 2021 |
Date de la dernière version | 12 16 décembre 2021 |
Source | CVE-2021-44228 |
Diffusion de cette version | Publique |
Historique |
|
Planning prévisionnel | - |
Pièces jointes | - |
...
- technique "mise à jour" : remplacer les jars de log4j-core par la version 2.15.0 ou supérieur (attention maven central fournit une version compilée pour Java ≥ 8)
technique "zip" : supprimer la classe du jar
Bloc de code language bash zip -q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
NB : si vous lancez la commande en root, le jar appartiendra ensuite à root.
technique "configurer" : si log4j-core ≥ 2.10, ajouter ceci à la ligne de commande java
Bloc de code language bash -Dlog4j2.formatMsgNoLookups=true
- technique "firewall" : empêcher les requêtes TCP sortantes du serveur (faire un "REJECT" et pas un "DROP" sinon le RCE devient un DoS)
...
- 10.10 : technique "mise à jour" ou "zip" ou "firewall" ou "configurer"
Elasticearch
Logstash
- technique
- à priori globalement protégé par l'usage d'un security manager de java (annonce)
- 6.5.3 debian 9 : technique "mise à jour" ou "zip" ou "firewall" ou (la technique "configurer" ne marche pas !)
Solr
- 8.57.9.1 : technique "mise à jour" ou "zip" ou "firewall" ou "configurer"
Logstash
- technique "zip" ou "firewall" (la technique "configurer" ne marche pas !)
Solr
ElasticSearch
- 5.x (versions 6 et 7 non concernées) : technique "8.5.1 : technique "mise à jour" ou "zip" ou "firewall" ou "configurer"
...
- bbb 2.2, ametys odf, ade (log4j via apache commons-logging), ksup (log4j puis logback), confluence,
Elasticsearch, ...
Autres applications
Voir cette liste de liens vers les annonces des éditeurs
...
En tant qu'exploitant vous pouvez retrouver ces librairies sous forme de jar. Au niveau des sources, on retrouve leurs références généralement dans des fichiers pom.xml (maven) ou build.gradle (gradle) ; avec le jeu des dépendances, la référence peut cependant ne pas être explicite.
Vous pouvez aussi +/- retrouver l'implémentation de librairie de logs utilisée suivant les configurations de ces logs ; même si il peut y avoir des variantes, adaptation du développeur, configurations implicites ... :
...
- CVE-2021-44228 : https://www.cve.org/CVERecord?id=CVE-2021-44228
- CERTFR-2021-ALE-022 : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
CAS Log4J Vulnerability Disclosure : https://apereo.github.io/2021/12/11/log4j-vuln/Nous vous recommandons la lecture des deux articles suivants pour bien comprendre le mode opératoire des attaques exploitant cette vulnérabilité.
[1] https://www.lunasec.io/docs/blog/log4j-zero-day/
[2] https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/
...