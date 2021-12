Une nouvelle vulnérabilité a récemment été découverte par l'équipe Cloud d'Alibaba, elle se nomme Log4Shell est suivie par le National Institute of Standards and Technology (NIST) sous l'identifiant CVE-2021-44228, et c'est une faille niveau BDSM tellement elle est sévère, si l'on en croit sa description !

De quoi s'agit-il donc ? La vulnérabilité affecte la librairie de logging d'Apache et plus spécifiquement son service Log4J, une solution open source pour serveur largement utilisée dans le monde entier par des millions d'applications Java, et compromet tout système accessible direcrement depuis un navigateur, appareil mobile ou d'un appel d'API, un attaquant pouvant s'en servir pour tromper le serveur ciblé et lui faire télécharger et exécuter du code arbitraire hébergé ailleurs (contournant de fait plusieurs couches de protections logicielles), et par conséquent d'exploiter la machine comme bon lui semble. De surcroit, tout cela peut-être réalisé à distance, au chaud et en sécurité, l'exploitation de la faille ne nécessitant aucun accès physique ni de proximité particulière au système ciblé. Et c'est bien pour cela que Log4Shell a d'ailleurs obtenu la valeur la plus élevée du classement CVSS 3.0, à savoir un 10(/10) !

Et avec ça, un beau logo fait main !

Qui est concerné ? Intel a listé 9 de ses applications exploitant Java et étant actuellement vulnérable, il s'agit d'Intel Audio Developpement Kit, Intel Datacenter Manager, Intel oneAPI sample browser pluging for Eclipse, Intel System Debugger, Intel Secure Device Onboard, Intel Genomics Kernel Library, Intel System Audio, Computer Vision Annotation Tool, Intel Sensor Solution Firmware Development Kit. À savoir que ses équipes travaillent d'ores et déjà pour fournir des mises à jour dès que possible afin de colmater la brèche.

Pour NVIDIA, la situation est un poil différente. En effet, si le rythme de mise à jour de ses logiciels a été respecté, l'exploitation de la faille n'est a priori pas possible. Par contre, les produits suivants sont bel et bien vulnérables à Log4Shell s'ils ne sont pas dans leur dernière version respective disponible : CUDA Toolkit Visual Profiler, Nsight Eclipse Edition, DGX Systems, NetQ et vGPU Software License Server.

De son côté, Microsoft a déjà distribué une mise à jour corrective pour deux de ses produits et nullifier l'exploit, à savoir Azure Spring Cloud (qui utilise certains éléments de Lg4j pour son démarrage) et Azure DevOps. Enfin, AMD aussi a fait son enquête et a conclu qu'aucun de ses produits ne semble être affecté par la vulnérabilité. Néanmoins, considérant la sévérité du truc, l'entreprise affirme encore continuer ses analyses.

Voilà, il ne reste maintenant plus qu'aux IT manager et autres gestionnaires de serveurs de faire leur travail et de (toujours) mettre à jour leurs outils avec assiduité. Enfin, il vaudrait probablement mieux pour eux... Pour les autres, il y aura toujours le pare-feu Open Office !