A la une

La CNIL a diffusé une alerte sécurité qui impacte un grand nombre d’applications logicielles, concernant l’existence d’une vulnérabilité dans le logiciel Apache Log4j

- A la une

Apache Log4j

La CNIL a diffusé une alerte sécurité qui impacte un grand nombre d’applications logicielles, concernant l’existence d’une vulnérabilité dans le logiciel Apache Log4j.

Résumé :

Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Cette bibliothèque est très souvent utilisée dans les projets de développement d’application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE.

Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification. 

Des preuves de concept ont déjà été publiées.

Cette vulnérabilité fait désormais l’objet d’une exploitation.

Le bulletin d’alerte complet, comprenant toutes les informations sur la vulnérabilité et les possibilités de contournement provisoire, est disponible sur le site du CERT, à l’adresse suivante : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/ 

Depuis, un certain nombre d’éditeurs de logiciels ont commencé à adresser à leur clients des communiqués relatifs à l’analyse des risques de leurs outils.

De nombreuses applications Java, très courantes, sont potentiellement concernées. Dans un premier temps, il convient de :

  • s’assurer si des outils logiciels sont affectés par cette vulnérabilité – et prendre les mesures correctives ;
  • le cas échéant, conserver toutes les communications adressées par les éditeurs de logiciels dans un dossier dédié, de manière à documenter l’incident.

Pour rappel, conformément au RGPD, en cas de violation de données personnelles, par exemple consécutive à une faille de sécurité, le responsable de traitement est tenu de déclarer la violation à la CNIL et de la documenter dans un délai de 72h à compter de son identification.