Surnommée « Log4Shell », cette faille de sécurité permet à un attaquant d’exécuter du code informatique sur le serveur d’une organisation. De nombreux chercheurs ont exprimé leur inquiétude.
Des experts en sécurité informatique ont alerté, vendredi 10 novembre, sur une importante vulnérabilité logicielle mettant en danger un grand nombre de serveurs (les ordinateurs qui hébergent des services et sites Web).
Baptisée « Log4Shell », cette faille de sécurité concerne une bibliothèque Java baptisée Log4j et développée par la fondation Apache. Il s’agit d’un outil utilisé pour enregistrer des informations relatives à un logiciel : par exemple, des rapports d’erreur. Plusieurs experts ont découvert qu’il était possible d’envoyer à un serveur un lien vers une page Web et de faire lire le contenu de cette page par la bibliothèque. Si cette page contient du code en Java, il peut alors être exécuté sur le serveur.
Les vulnérabilités qui permettent de faire fonctionner du code informatique à distance sur une machine (remote code execution), comme Log4Shell, sont particulièrement dangereuses, car elles peuvent par exemple permettre à un attaquant de s’introduire sur un serveur.