Le logiciel de panneau de contrôle du serveur d’hébergement Web cPanel a récemment publié un correctif pour corriger une faille critique dans la bibliothèque Java log4j découverte dans une partie du logiciel utilisé pour la messagerie électronique. La vulnérabilité elle-même est nommée Log4Shell.
Vulnérabilité critique de Log4j dans Log4Shell
Log4j est une bibliothèque Java qui ajoute une fonctionnalité d’insertion à de nombreux produits logiciels en ligne. Pour un utilisateur final, ce n’est pas quelque chose qu’il télécharge et utilise généralement.
C’est une bibliothèque Java qui serait incluse dans le logiciel. Pour cette raison, les utilisateurs finaux ne savent généralement pas si le logiciel qu’ils utilisent contient la vulnérabilité.
La vulnérabilité log4j est évaluée à 10 sur une échelle de 1 à 10, 10 représentant le niveau de vulnérabilité le plus dangereux.
La vulnérabilité a été décrite par un chercheur en sécurité comme catastrophique :
Cette vulnérabilité plutôt catastrophique affecte tout ce qui utilise log4j pour enregistrer tout ce qui inclut l’entrée de l’utilisateur. Et cela signifie qu’il affecte presque toutes les applications Java qui accepte les entrées du Web.
– Wordfence (@wordfence) 10 décembre 2021
Le département américain de la Sécurité intérieure a appelé à une action rapide :
Toutes les organisations doivent effectuer une mise à niveau vers Log4j version 2.15.0 ou appliquer immédiatement les mesures d’atténuation appropriées recommandées par les fournisseurs.
Lire la suite de @CISAgov sur la façon de protéger votre organisation ⬇️ https://t.co/5HJ72gQ1C9
– Sécurité intérieure (@DHSgov) 12 décembre 2021
Panneau de configuration de l’hôte Web cPanel
cPanel est un panneau de contrôle qui permet à un opérateur de site Web de gérer facilement son environnement d’hébergement de site Web.
cPanel offre une interface utilisateur graphique (GUI) qui ressemble à une interface de bureau. Il facilite l’exécution de tâches telles que la mise à jour de la version de PHP utilisée par les sites Web, le contrôle du pare-feu et l’ajout d’un certificat de sécurité, entre autres.
Selon la société d’intelligence économique ConstruitAvec, plus de trois millions de clients utilisent cPanel.
Déclaration du gouvernement des États-Unis sur la vulnérabilité Log4Shell
La Cybersecurity and Infrastructure Security Agency (CISA) du gouvernement des États-Unis a publié une déclaration le samedi 11 novembre 2021 exhortant les développeurs et les fournisseurs de logiciels qui utilisent la bibliothèque log4j dans leurs produits à corriger immédiatement leurs produits et aux fournisseurs d’informer les clients.
La directrice du CISA, Jen Easterly, a écrit :
« CISA travaille en étroite collaboration avec nos partenaires des secteurs public et privé pour traiter de manière proactive une vulnérabilité critique affectant les produits contenant la bibliothèque logicielle log4j.
… Les utilisateurs finaux dépendront de leurs fournisseurs, et la communauté des fournisseurs doit immédiatement identifier, atténuer et corriger le large éventail de produits utilisant ce logiciel.
Les fournisseurs doivent également communiquer avec leurs clients pour s’assurer que les utilisateurs finaux savent que leur produit contient cette vulnérabilité et doivent prioriser les mises à jour logicielles.
Le communiqué indique que le Joint Cyber Defense Collaborative, la National Security Agency et le FBI coordonnent également leur position proactive pour sensibiliser au problème et atténuer les vulnérabilités.
Le communiqué ajoute :
« Nous continuons d’exhorter toutes les organisations à examiner la dernière alerte d’activité actuelle CISA et à passer à la version 2.15.0 de log4j, ou à appliquer immédiatement les mesures d’atténuation recommandées par leur fournisseur.
Pour être clair, cette vulnérabilité présente un risque grave. Nous ne minimiserons les impacts potentiels que grâce à des efforts de collaboration entre le gouvernement et le secteur privé. Nous exhortons toutes les organisations à se joindre à nous dans cet effort essentiel et à prendre des mesures. »
Vulnérabilité Log4Shell du plug-in cPanel
La bibliothèque Java Log4j vulnérable a été découverte dans un plugin cPanel essentiel appelé plugin cPanel Dovecot Solr.
Le plugin est un composant essentiel du protocole de messagerie IMAP.
cPanel le décrit comme :
« Le plug-in cPanel Solr permet l’indexation de la recherche en texte intégral (FTS) Internet Message Access Protocol (IMAP) (optimisée par Apache Solr ™), qui fournit des capacités de recherche rapide pour les boîtes aux lettres IMAP. »
Une discussion officielle du forum cPanel a été parmi les premières à identifier que cPanel contenait la bibliothèque log4j et pouvait donc poser un risque de sécurité.
En quelques heures, un analyste technique de cPanel a annoncé qu’un correctif avait été publié.
« Nous avons publié une mise à jour avec l’atténuation pour CVE-2021-44228 dans le RPM cpanel-dovecot-solr.
Obtention de l’atténuation pour CVE-2021-44228
Vous pouvez exécuter une mise à jour cPanel qui mettra à jour le RPM cpanel-dovecot-solr pour vous :
Comment mettre à jour cPanel/WHM“Si vous avez déjà désinstallé cPanel Solr, vous pouvez l’installer à nouveau en suivant les étapes de ce guide
Comment installer cPanel Solr“
Citations
Discussion sur le forum cPanel
log4j CVE-2021-44228, cela affecte-t-il Cpanel ?
Déclaration du gouvernement des États-Unis
Déclaration du directeur de CISA Easterly sur la vulnérabilité « Log4j »
