Jamais deux sans trois. L’Apache Software Foundation (ASF) a déployé un nouveau patch pour Log4j afin de corriger une faille de vulnérabilité critique.
C’est la troisième mise à jour de sa bibliothèque logicielle open source en l’espace de dix jours seulement.
Une nouvelle mise à jour de Log4j
Ça n'en finit plus. Après qu'une faille de sécurité de niveau critique maximal (baptisée Log4Shell) a été découverte dans le logiciel de journalisation Log4j, utilisé dans des millions d’applications dont Minecraft, et alors que les entreprises ont lancé un appel aux chasseurs de bugs pour dénicher les failles spécifiques à Log4j, l’ASF a publié une troisième mise à jour.
La version 2.16 sortie mardi 14 novembre ne protégeait « pas toujours contre la récursion infinie dans l'évaluation de la recherche » a expliqué la fondation dans un communiqué de presse. Plus concrètement, la version précédente permettait aux assaillants de créer des attaques DoS. Un problème qui devrait être corrigé par l’update 2.17.0… mais les entreprises ne sont pas au bout de leur peine.
James Wetter et Nicky Ringland, chercheurs de l’équipe Open Source Insights, ont affirmé dans un rapport publié par Google vendredi dernier que 35 863 des artefacts Java disponibles dans Maven Central dépendent du code Log4j concerné par la faille. Selon eux, seulement près de 5 000 artefacts ont été patchés, mais il sera difficile de résoudre le problème dans sa globalité à cause de la profondeur de l'intégration de Log4j dans certains produits. En d’autres termes, cela pourrait prendre des années avant qu’il ne soit corrigé, dans certains cas.
Source : Zdnet
