Le plugin cPanel contient une vulnérabilité Log4j

0
4
Le plugin cPanel contient une vulnérabilité Log4j

Le populaire logiciel de panneau de contrôle de serveur d’hébergement web cPanel a récemment publié un correctif pour corriger une faille critique dans la bibliothèque Java log4j découverte dans une partie du logiciel utilisé pour la messagerie. La vulnérabilité elle-même se nomme Log4Shell.

Vulnérabilité critique de Log4j Log4Shell

Log4j est une bibliothèque Java qui ajoute une fonctionnalité d’intégration à de nombreux produits logiciels en ligne. Pour un utilisateur final, ce n’est pas quelque chose qu’il téléchargerait et utiliserait généralement.

Il s’agit d’une bibliothèque Java qui est incluse dans le logiciel. De ce fait, les utilisateurs finaux ne savent généralement pas si le logiciel qu’ils utilisent contient la vulnérabilité.

La vulnérabilité de log4j est évaluée à 10 sur une échelle de 1 à 10, 10 représentant le niveau de vulnérabilité le plus dangereux.

La vulnérabilité a été décrite par un chercheur en sécurité comme étant catastrophique :

Le département de la sécurité intérieure des États-Unis a appelé à une action rapide :

Panneau de contrôle de l’hôte Web cPanel

cPanel est un panneau de contrôle qui permet à l’opérateur d’un site Web de gérer facilement l’environnement d’hébergement de son site.

cPanel offre une interface utilisateur graphique (GUI) qui ressemble à une interface de bureau. Il permet d’effectuer facilement des tâches telles que la mise à jour de la version de PHP utilisée par les sites Web, le contrôle du pare-feu et l’ajout d’un certificat de sécurité, entre autres.

Selon la société d’intelligence économique BuiltWith, plus de trois millions de clients utilisent cPanel.

Déclaration du gouvernement des États-Unis sur la vulnérabilité de Log4Shell

L’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) du gouvernement des États-Unis a publié une déclaration le samedi 11 novembre 2021 demandant aux développeurs et aux fournisseurs de logiciels qui utilisent la bibliothèque log4j dans leurs produits d’appliquer immédiatement des correctifs à leurs produits et aux fournisseurs d’informer leurs clients.

La directrice du CISA, Jen Easterly, a écrit :

« La CISA travaille en étroite collaboration avec ses partenaires des secteurs public et privé pour traiter de manière proactive une vulnérabilité critique affectant les produits contenant la bibliothèque logicielle log4j.

…Les utilisateurs finaux seront dépendants de leurs fournisseurs, et la communauté des fournisseurs doit immédiatement identifier, atténuer et corriger le large éventail de produits utilisant ce logiciel.

Les fournisseurs devraient également communiquer avec leurs clients pour s’assurer que les utilisateurs finaux savent que leur produit contient cette vulnérabilité et devraient donner la priorité aux mises à jour logicielles. »

La déclaration indique que le Joint Cyber Defense Collaborative, la National Security Agency et le FBI coordonnent également leur position proactive pour sensibiliser au problème et atténuer les vulnérabilités.

La déclaration ajoute :

« Nous continuons à demander à toutes les organisations de prendre connaissance de la dernière alerte sur l’activité actuelle du CISA et de passer à la version 2.15.0 de log4j, ou d’appliquer immédiatement les mesures d’atténuation recommandées par les fournisseurs.

Pour être clair, cette vulnérabilité pose un risque grave. Nous ne pourrons minimiser les impacts potentiels que par des efforts de collaboration entre le gouvernement et le secteur privé. Nous exhortons toutes les organisations à se joindre à nous dans cet effort essentiel et à prendre des mesures. »

Vulnérabilité du plugin Log4Shell de cPanel

La bibliothèque Java Log4j vulnérable a été découverte dans un plugin cPanel essentiel appelé cPanel Dovecot Solr plugin.

Ce plugin est un composant essentiel du protocole de messagerie IMAP.

cPanel le décrit comme suit :

« Le plugin Solr de cPanel permet l’indexation de la recherche en texte intégral (FTS) du protocole d’accès aux messages Internet (IMAP) (alimenté par Apache Solr™), qui offre des capacités de recherche rapide pour les boîtes aux lettres IMAP. »

Une discussion officielle du forum cPanel a été parmi les premières à identifier que cPanel contenait la bibliothèque log4j et pouvait donc présenter un risque de sécurité.

En quelques heures, un analyste technique de cPanel a annoncé qu’un correctif avait été publié.

« Nous avons publié une mise à jour avec l’atténuation pour CVE-2021-44228 au RPM cpanel-dovecot-solr.

Obtention de la mitigation pour CVE-2021-44228

Vous pouvez exécuter une mise à jour de cPanel qui mettra à jour le RPM cpanel-dovecot-solr pour vous :
Comment mettre à jour cPanel/WHM ?« 

Si vous avez précédemment désinstallé cPanel Solr, vous pouvez le réinstaller en suivant les étapes de ce guide.
Comment installer cPanel Solr« 

Citations

Discussion sur le forum cPanel

log4j CVE-2021-44228, est-ce que cela affecte Cpanel ?

Déclaration du gouvernement des États-Unis

Déclaration du directeur de la CISA, M. Easterly, sur la vulnérabilité de « Log4j ».

Lien source