SEOLe plugin cPanel contient une vulnérabilité Log4j

Le plugin cPanel contient une vulnérabilité Log4j

Le populaire logiciel de panneau de contrôle de serveur d’hébergement web cPanel a récemment publié un correctif pour corriger une faille critique dans la bibliothèque Java log4j découverte dans une partie du logiciel utilisé pour la messagerie. La vulnérabilité elle-même se nomme Log4Shell.

Vulnérabilité critique de Log4j Log4Shell

Log4j est une bibliothèque Java qui ajoute une fonctionnalité d’intégration à de nombreux produits logiciels en ligne. Pour un utilisateur final, ce n’est pas quelque chose qu’il téléchargerait et utiliserait généralement.

Il s’agit d’une bibliothèque Java qui est incluse dans le logiciel. De ce fait, les utilisateurs finaux ne savent généralement pas si le logiciel qu’ils utilisent contient la vulnérabilité.

La vulnérabilité de log4j est évaluée à 10 sur une échelle de 1 à 10, 10 représentant le niveau de vulnérabilité le plus dangereux.

La vulnérabilité a été décrite par un chercheur en sécurité comme étant catastrophique :

Le département de la sécurité intérieure des États-Unis a appelé à une action rapide :

Panneau de contrôle de l’hôte Web cPanel

cPanel est un panneau de contrôle qui permet à l’opérateur d’un site Web de gérer facilement l’environnement d’hébergement de son site.

cPanel offre une interface utilisateur graphique (GUI) qui ressemble à une interface de bureau. Il permet d’effectuer facilement des tâches telles que la mise à jour de la version de PHP utilisée par les sites Web, le contrôle du pare-feu et l’ajout d’un certificat de sécurité, entre autres.

Selon la société d’intelligence économique BuiltWith, plus de trois millions de clients utilisent cPanel.

Déclaration du gouvernement des États-Unis sur la vulnérabilité de Log4Shell

L’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) du gouvernement des États-Unis a publié une déclaration le samedi 11 novembre 2021 demandant aux développeurs et aux fournisseurs de logiciels qui utilisent la bibliothèque log4j dans leurs produits d’appliquer immédiatement des correctifs à leurs produits et aux fournisseurs d’informer leurs clients.

La directrice du CISA, Jen Easterly, a écrit :

“La CISA travaille en étroite collaboration avec ses partenaires des secteurs public et privé pour traiter de manière proactive une vulnérabilité critique affectant les produits contenant la bibliothèque logicielle log4j.

…Les utilisateurs finaux seront dépendants de leurs fournisseurs, et la communauté des fournisseurs doit immédiatement identifier, atténuer et corriger le large éventail de produits utilisant ce logiciel.

Les fournisseurs devraient également communiquer avec leurs clients pour s’assurer que les utilisateurs finaux savent que leur produit contient cette vulnérabilité et devraient donner la priorité aux mises à jour logicielles.”

La déclaration indique que le Joint Cyber Defense Collaborative, la National Security Agency et le FBI coordonnent également leur position proactive pour sensibiliser au problème et atténuer les vulnérabilités.

La déclaration ajoute :

“Nous continuons à demander à toutes les organisations de prendre connaissance de la dernière alerte sur l’activité actuelle du CISA et de passer à la version 2.15.0 de log4j, ou d’appliquer immédiatement les mesures d’atténuation recommandées par les fournisseurs.

Pour être clair, cette vulnérabilité pose un risque grave. Nous ne pourrons minimiser les impacts potentiels que par des efforts de collaboration entre le gouvernement et le secteur privé. Nous exhortons toutes les organisations à se joindre à nous dans cet effort essentiel et à prendre des mesures.”

Vulnérabilité du plugin Log4Shell de cPanel

La bibliothèque Java Log4j vulnérable a été découverte dans un plugin cPanel essentiel appelé cPanel Dovecot Solr plugin.

Ce plugin est un composant essentiel du protocole de messagerie IMAP.

cPanel le décrit comme suit :

“Le plugin Solr de cPanel permet l’indexation de la recherche en texte intégral (FTS) du protocole d’accès aux messages Internet (IMAP) (alimenté par Apache Solr™), qui offre des capacités de recherche rapide pour les boîtes aux lettres IMAP.”

Une discussion officielle du forum cPanel a été parmi les premières à identifier que cPanel contenait la bibliothèque log4j et pouvait donc présenter un risque de sécurité.

En quelques heures, un analyste technique de cPanel a annoncé qu’un correctif avait été publié.

“Nous avons publié une mise à jour avec l’atténuation pour CVE-2021-44228 au RPM cpanel-dovecot-solr.

Obtention de la mitigation pour CVE-2021-44228

Vous pouvez exécuter une mise à jour de cPanel qui mettra à jour le RPM cpanel-dovecot-solr pour vous :
Comment mettre à jour cPanel/WHM ?

Si vous avez précédemment désinstallé cPanel Solr, vous pouvez le réinstaller en suivant les étapes de ce guide.
Comment installer cPanel Solr

Citations

Discussion sur le forum cPanel

log4j CVE-2021-44228, est-ce que cela affecte Cpanel ?

Déclaration du gouvernement des États-Unis

Déclaration du directeur de la CISA, M. Easterly, sur la vulnérabilité de “Log4j”.

Lien source

Lire aussi
Une infection thoracique disparaît-elle d’elle-même ou dois-je prendre des antibiotiques, est-elle contagieuse et quels sont les risques pour les femmes enceintes ?
Une infection thoracique disparaît-elle d'elle-même ou dois-je prendre des antibiotiques, est-elle contagieuse et quels sont les risques pour les femmes enceintes ?

Durant les mois d'hiver, les infections pulmonaires sont fréquentes et la plupart d'entre elles sont bénignes et sans gravité. Aujourd'hui, Read more

Principaux conseils en matière de stratégie de référencement vidéo [Podcast]
Principaux conseils en matière de stratégie de référencement vidéo [Podcast]

Vous souhaitez lancer un podcast ou une émission d'interview sur YouTube mais ne savez pas par où commencer ?Vous voulez Read more

IPL 2022, Chennai Super Kings vs Mumbai Indians : “Dhoni finit en beauté” encore une fois, alors que CSK gagne au dernier moment.
MS Dhoni IPL Chennai Super Kings vs Mumbai Indians IPL 2022

Le grand M. S. Dhoni a fait marche arrière et a permis aux Chennai Super Kings de remporter trois victoires Read more

La recherche de mots-clés B2B bien faite avec des exemples pratiques
La recherche de mots-clés B2B bien faite avec des exemples pratiques

Soyons clairs... il n'existe pas d'algorithme Google B2B. Cependant, les choses se passent différemment lorsque vous ciblez des entreprises et Read more

Aston Martin accélère le processus pour devenir une entreprise d’ultra-luxe durable de premier plan au niveau mondial
Aston Martin accelerates journey to a world-leading sustainable ultra-luxury business with announcement of ambitious Racing.Green. strategy

Aston Martin a donné aujourd'hui un coup d'accélérateur à son projet de devenir une entreprise automobile de luxe durable de Read more

Votre adresse IP est-elle un facteur de classement dans Google ?
Votre adresse IP est-elle un facteur de classement dans Google ?

De vieilles histoires et des conseils comme celui de Brian Dean nous font croire que l'adresse IP de votre serveur Read more

WardWizard présente une gamme complète de deux-roues électriques à l’exposition de véhicules électriques de Kolkata 2022.
WardWizard présente une gamme complète de deux-roues électriques à l'exposition de véhicules électriques de Kolkata 2022.

WardWizard Innovations and Mobility, le fabricant de la marque de deux-roues électriques 'Joy e-bike' a présenté sa gamme complète de Read more

TotalEnergies et Shell font une nouvelle offre d’exploration pétrolière en Afrique du Sud
TotalEnergies, Shell in fresh SA oil exploration bid

TotalEnergies SE et Shell Plc cherchent à forer des puits d'exploration pétrolière au large de la côte sud-ouest de l'Afrique Read more

Pourquoi le marché boursier a-t-il chuté ? Le Dow Jones termine avec une baisse de près de 1 000 points, la pire journée depuis octobre 2020.
Pourquoi le marché boursier a-t-il chuté ? Le Dow Jones termine avec une baisse de près de 1 000 points, la pire journée depuis octobre 2020.

Les actions américaines ont fortement chuté vendredi pour subir leur plus forte baisse en une journée depuis 2020, les investisseurs Read more

Promouvoir une culture saine du crédit plutôt que de renoncer aux prêts agricoles : Étude
The study, ‘Farm loan waivers in India: assess the impact and looking ahead’, was released on Friday.

Le gouvernement doit promouvoir une culture de crédit saine, investir dans l'agriculture et s'attaquer aux distorsions dans le secteur agricole Read more

Abonnez-vous à la newsletter (gratuit)

Rejoindre la newsletter gratuitement

OBTENEZ UN ACCÈS COMPLET EXCLUSIF AU CONTENU PREMIUM

SOUTENIR LE JOURNALISME À BUT NON LUCRATIF

ANALYSE D'EXPERTS ET TENDANCES ÉMERGENTES EN MATIÈRE DE PROTECTION DE L'ENFANCE ET DE JUSTICE JUVÉNILE

WEBINAIRES VIDÉO THÉMATIQUES

Obtenez un accès illimité à notre contenu EXCLUSIF et à nos archives d'histoires d'abonnés.

Contenu exclusif

Article récents

Plus d'articles

%d blogueurs aiment cette page :