Un nouveau patch (2.17.0) sur Log4J (CVE-2021-45105) a été déployé le 17 décembre 2021 alors que de nouvelles failles ont été découvertes après les deux premiers patchs. D’autres vulnérabilités risquent donc d’apparaître encore dans les prochains jours.
La suspicion d’un bug de type DoS affectant le patch log4j 2.16.0 a fait son apparition sur le projet JIRA d’Apache en fin de semaine dernière. Soit peu après que les experts constatent que la version 2.15.0 du patch sur Log4J soit vulnérable à une attaque par déni de service (DoS).
Or, selon la fondation Apache, log4j 2.16 « ne protège pas toujours contre la récursion infinie dans l’évaluation de la recherche ». Elle a donc lancé le vendredi 17 décembre 2021 un nouveau patch log4j 2.17.0 (CVE-2021-45046) pour corriger cette vulnérabilité sur Java 8.
« Avec de nouvelles vulnérabilités Log4j qui sont annoncées à un rythme alarmant, il devient clair que cette crise ne va pas s’arrêter de sitôt. Les entreprises peuvent anticiper en ayant une visibilité totale sur leurs environnements », explique Avi Shua, PDG et cofondateur d’Orca Security. « Si vous ne savez pas quelles charges de travail vous avez, jusqu’au niveau de leurs applications et de leurs bibliothèques installées, vous ne pouvez pas assurer leur sécurité. Log4j n’est qu’un exemple supplémentaire du besoin de visibilité permanente sur ce qui se trouve dans votre environnement. Cela permet de remédier rapidement aux problèmes et de trier les nouvelles CVE critiques, avant même la publication d’un correctif ».