Décembre 2021, un cataclysme d’abat sur le monde de l’IT : Log4shell

Une faille qui présente les pires problèmes :

• Présente dans quasiment toutes les applications
• Tout ce qui peut être loggé devient un danger
• Exploitable en masse et peu de gens s’en sont privés

Et en plus en vendredi soir!
Bref, c’est un week end de travail acharné pour corriger un nombre incalculable d’applications. C’est loin d’être fini, je rencontre encore cette faille.

Mais pourquoi donc cette faille est si grave ? Qu’est ce qui fait qu’elle est si problématique ?

C’est ce qu’on va voir dans cette vidéo avec une application Spring vulnérable à log4shell.

Code des exemples :

• https://codeberg.org/neuronaddict?tab=followers
• https://github.com/NeuronAddict/log4shell-demo

Vidéo sur la déserialisation : https://youtu.be/rSIgMIt_-QI.

Chapitres

00:00 intro
00:30 Log4j, un peu de contexte
03:01 Le problème : une innocente fonctionnalité
08:20 Lookup : le diable se cache dans les détails
11:11 Mais pourquoi c’est dangereux ?
19:19 Log4shell : encore plus dangereux
30:52 Le casse tête de la correction

43:06 Conclusion

Doc de log4j présentée durant la vidéo : https://logging.apache.org/log4j/2.x/release-notes.html
Upgrade de Spring boot : https://github.com/spring-projects/spring-boot/releases/tag/v2.6.2
Tuto Oracle sur le JNDI : https://docs.oracle.com/javase/tutorial/jndi/overview/index.html

DNS public européen avec filtrage possible des malwares : https://www.joindns4.eu/for-public

Merci à Punch Deck pour le générique : « I can’t Stop » / https://soundcloud.com/punch-deck
Merci à creazilla pour ses resources graphiques : https://creazilla.com/