Ubuntu-fr

Bonjour,
C'est une trèèèèès grosse faille, d'une part parce que c'est une RCE (remote command execution), que ça demande 0 prérequis, que c'est très simple à exploiter, c'est tellement important que le score CVSS est de 10/10, ce qui est extrêmement rare. En fait les applications exposées sur internet notamment gardent des traces de ce qu'il s'est passé, c'est ce qu'on appelle les logs. Si un attaquant réussit à inscrire un texte particulier dans des logs traités par log4j pour une application java (ce qui n'est pas compliqué en soi), alors si log4j est vulnérable, ça peut mener à une compromission si c'est exploité... (je crois que ça dépend aussi de la version de java)
Cette faille n'est pas limitée aux serveurs apache, elle est valable pour tous les logiciels en java qui utilisent log4j (c'est à dire globalement tous, puisque log4j est la référence pour produire des logs).
Il y a énormément de programmes vulnérables, une liste assez longue ici de l'état de programmes utilisant log4j : https://github.com/NCSC-NL/log4shell/tree/main/software
Après cette attaque vise surtout les machines exposées sur internet, pas les particuliers.
Comme toujours, il faut faire les maj