Cybersécurité : Apache publie un troisième correctif Log4j

Cybersécurité : Apache publie un troisième correctif Log4j

La crise liée à la vulnérabilité Log4j se poursuit, avec des développements presque chaque jour, dont la découverte d’un nouveau vecteur d’attaque.

Parmi les derniers développements : 

Apache a publié une troisième mise à jour pour corriger les bogues dans la bibliothèque de journalisation basée sur le langage Java pour les applications à code source ouvert.

Une nouvelle méthode a été découverte par des chercheurs de la firme Blumira qui peut être utilisée pour compromettre les systèmes informatiques vulnérables aux bogues de la bibliothèque.

La vulnérabilité, connue par certains chercheurs sous le nom de Log4Shell ou LogJam, serait utilisée pour déployer des rançongiciels de type TellYouThePass, une famille de rançongiciels ancienne et inactive.

Le problème est si sérieux que la Cybersecurity and Infrastructure Security Agency (CISA) aux États-Unis a demandé aux agences fédérales américaines d’oublier la date limite du 24 décembre pour la correction ou l’atténuation de leurs systèmes informatiques, elles doivent le faire dès que possible.

Lire l’article au complet sur le site d’IT World Canada (en anglais), une publication soeur de Direction informatique

Lire aussi :

Log4Shell n’érode pas la confiance envers les logiciels à code source ouvert

Corriger des applications liées aux vulnérabilités Log4j peut prendre des années

Mieux vaut prévenir que guérir en numérique aussi