ClickCease Plus de 30 % des applications sont menacées par des versions vulnérables de Log4j

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Plus de 30 % des applications sont menacées par des versions vulnérables de Log4j

Rohan Timalsina

Le 27 décembre 2023 - L'équipe d'experts de TuxCare

Un pourcentage alarmant de 38 % des applications qui utilisent la bibliothèque Apache Log4j utilisent des versions susceptibles de présenter des failles de sécurité. L'une d'entre elles est une vulnérabilité critique, Log4Shell (CVE-2021-44228), pour laquelle des correctifs sont disponibles depuis plus de deux ans.

Log4Shell est une faille d'exécution de code à distance (RCE) non authentifiée qui permet aux acteurs de la menace de prendre le contrôle complet des systèmes utilisant les versions 2.0-beta9 et jusqu'à la version 2.15.0 de Log4j. Cette vulnérabilité a été identifiée comme un exploit de type "zero-day" en décembre 2021 et a depuis été activement exploitée, soulignant l'urgence d'un correctif immédiat en raison de l'impact généralisé.

 

Rapport de Veracode sur les applications Log4j

 

Dans une analyse détaillée, Veracode a examiné 38 278 applications provenant de 3 886 entreprises entre le 15 août et le 15 novembre. Les résultats ont montré qu'environ 38 % de ces applications continuaient d'utiliser des versions de Log4j non corrigées, laissant une partie importante du paysage numérique exposée à des menaces potentielles. Parmi ces applications, 2,8 % utilisent des versions de Log4J susceptibles d'être infectées par Log4Shell.

L'un des problèmes typiques que rencontrent les développeurs est la persistance de versions de bibliothèques obsolètes. Il est surprenant de constater que 79 % des développeurs décident de ne pas mettre à jour les bibliothèques tierces après leur intégration dans la base de code, craignant que les fonctionnalités ne soient affectées. Fait remarquable, 65 % des mises à jour de bibliothèques open-source comprennent de petits ajustements et des corrections qui ne risquent pas d'interférer avec la fonctionnalité, ce qui met en évidence une occasion manquée d'améliorer la sécurité.

 

Impact limité de Log4Shell sur les pratiques

 

L'industrie de la sécurité aurait pu espérer que la découverte de Log4Shell serve de signal d'alarme, mais cela ne semble pas avoir été le cas. Le fait que Log4j, bien connu pour ses vulnérabilités, constitue encore un risque dans un cas sur cinq montre que l'urgence de Log4Shell n'a pas entraîné le changement de paradigme attendu dans les pratiques de sécurité.

Ces résultats indiquent clairement aux organisations ce qu'elles doivent faire : procéder à une évaluation approfondie de leur environnement afin d'identifier les versions des bibliothèques à code source ouvert. L'étape suivante consiste à créer un plan de mise à niveau d'urgence, en veillant à ce que les mises à jour et les correctifs soient appliqués rapidement afin d'éliminer les vulnérabilités et de renforcer les défenses contre toute attaque.

 

Conclusion

 

Alors que les vulnérabilités de Log4j continuent de persister dans l'écosystème numérique, les organisations doivent reconnaître la menace persistante qu'elles représentent et prendre des mesures proactives pour sécuriser leurs applications. En restant vigilantes, en mettant en œuvre des mises à jour opportunes et en adoptant une attitude proactive en matière de sécurité, les entreprises peuvent naviguer dans le paysage complexe de la cybersécurité en toute confiance, en atténuant les risques associés à Log4Shell et à d'autres vulnérabilités similaires.

 

Les sources de cet article comprennent un article de BleepingComputer.

Résumé
Plus de 30 % des applications sont menacées par des versions vulnérables de Log4j
Nom de l'article
Plus de 30 % des applications sont menacées par des versions vulnérables de Log4j
Description
De nombreuses applications Log4j utilisent des versions non corrigées, y compris celles qui sont sensibles à la vulnérabilité Log4Shell.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information