Alors que Log4Shell, la faille critique de Log4j, fait grand bruit depuis quelques jours, une deuxième vulnérabilité vient d'être découverte dans le framework de journalisation.

La faille Log4Shell a été corrigée dans Log4j version 2.15, mais ce correctif s'avère incomplet et un nouveau bulletin de sécurité, CVE 2021-45046, a été publié hier 13 décembre.

Il a été constaté que le correctif pour traiter CVE-2021-44228 dans Apache Log4j 2.15.0 était incomplet dans certaines configurations autres que celles par défaut. Cela pourrait permettre aux attaquants de contrôler les données d'entrée de la carte de contexte de thread (MDC) lorsque la configuration de la journalisation utilise une disposition de modèle autre que celle par défaut avec une recherche de contexte (par exemple, $${ctx:loginId}) ou un modèle de carte de contexte de thread ( %X, %mdc ou %MDC) pour créer des données d'entrée malveillantes à l'aide d'un modèle de recherche JNDI entraînant une attaque par déni de service (DOS), explique le bulletin de sécurité.

L'équipe Apache Log4j a déjà publié un correctif sous la version Log4j 2.16. La note de publication indique :

Alors que la version 2.15.0 a supprimé la possibilité de résoudre les recherches et de se connecter messages et résolution des problèmes d'accès à JNDI, l'équipe Log4j estime que le fait d'avoir JNDI activé par défaut introduit un risque pour les utilisateurs. À partir de la version 2.16.0, la fonctionnalité JNDI est désactivée par défaut et peut être réactivée via la propriété système log4j2.enableJndi. L'utilisation de JNDI dans un contexte non protégé est un risque de sécurité et doit être traité comme tel dans cette bibliothèque et toutes les autres bibliothèques Java utilisant JNDI.