{"id":102538,"date":"2022-04-21T11:32:09","date_gmt":"2022-04-21T13:32:09","guid":{"rendered":"https:\/\/teknomers.com\/fr\/hotpatch-damazon-pour-log4j-flaw-trouve-vulnerable-au-bogue-descalade-de-privileges\/"},"modified":"2022-04-21T11:32:15","modified_gmt":"2022-04-21T13:32:15","slug":"hotpatch-damazon-pour-log4j-flaw-trouve-vulnerable-au-bogue-descalade-de-privileges","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/hotpatch-damazon-pour-log4j-flaw-trouve-vulnerable-au-bogue-descalade-de-privileges\/","title":{"rendered":"Hotpatch d’Amazon pour Log4j Flaw trouv\u00e9 vuln\u00e9rable au bogue d’escalade de privil\u00e8ges"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Le “hotpatch” publi\u00e9 par Amazon Web Services (AWS) en r\u00e9ponse aux vuln\u00e9rabilit\u00e9s Log4Shell pourrait \u00eatre exploit\u00e9 pour l’\u00e9chappement du conteneur et l’escalade des privil\u00e8ges, permettant \u00e0 un attaquant de prendre le contr\u00f4le de l’h\u00f4te sous-jacent.<\/p>\n

“Outre les conteneurs, les processus non privil\u00e9gi\u00e9s peuvent \u00e9galement exploiter le correctif pour augmenter les privil\u00e8ges et obtenir l’ex\u00e9cution du code racine”, a d\u00e9clar\u00e9 Yuval Avrahami, chercheur \u00e0 l’unit\u00e9 42 de Palo Alto Networks. mentionn\u00e9<\/a> dans un rapport publi\u00e9 cette semaine.<\/p>\n

\"La<\/a><\/div>\n

Les probl\u00e8mes – CVE-2021-3100<\/a>, CVE-2021-3101<\/a>, CVE-2022-0070<\/a>et CVE-2022-0071<\/a> (scores CVSS : 8,8) \u2014 affectent la solutions de correctifs<\/a> livr\u00e9s par AWS, et d\u00e9coulent du fait qu’ils sont con\u00e7us pour rechercher des processus Java et les corriger \u00e0 la vol\u00e9e contre la faille Log4j, mais sans garantir que les nouveaux processus Java sont ex\u00e9cut\u00e9s dans les limites impos\u00e9es au conteneur.<\/p>\n