arrow
Revenir aux articles de blog
14/12/21

À propos de la faille de sécurité Log4Shell

À propos de la faille de sécurité Log4Shell

Bonjour,

Une importante faille – baptisée Log4Shell – a été découverte dans la bibliothèque de journalisation Apache log4J.

Vendredi dernier, Le CERT-FR a publié un bulletin sur cette brèche identifiée par le CVE 2021-44228. Les détails techniques sont donnés par Apache dans ce bulletin.

Dès ce week-end toutes les branches de Simplicité version 5 ont été mises à jour avec la dernière librairie de Log4J alors disponible (2.15.0) qui résolvait la vulnérabilité critique susnommé.

Aujourd’hui, la fondation Apache vient de publier une nouvelle version de Log4J 2.x (version 2.16.0) afin de corriger définitivement cette vulnérabilité (voir leur dernière note de version : Log4j – Changes 1)

Cette nouvelle version a été mise à jour sur toutes les branches concernées de la plateforme Simplicité. Pour la branche actuelle, cela correspond à la révision 5.1.17. Voir notre release note : Simplicité® 5/releasenote/releasenote-5.1 ou notre sujet sur le forum.

Vous devez donc mettre à niveau vos instances dès que possible sur cette dernière révision.

Nous espérons également qu’il s’agira de la correction finale de cette vulnérabilité Log4J…

[MISE À JOUR – 2021-12-20]

La fondation Apache vient de publier une nouvelle version de Log4J 2.x (version 2.17.0). Voir leur note de publication : Log4j – Changes

Cette nouvelle version de Log4J2 a été mise à jour sur toutes les branches concernées de la plateforme Simplicité. Pour la branche de la version actuelle, cela correspond à la révision 5.1.19. Voir notre release note : Simplicité® 5/releasenote/releasenote-5.1 1.

Vous devriez donc mettre à nouveau à niveau vos instances dès que possible sur cette dernière révision. Nous espérons également – encore une fois – qu’il s’agira de la correction finale de ces vulnérabilités de Log4J…

À Noter : Cette vulnérabilité ne concerne pas la version 4.0 de Simplicité, car celle-ci n’utilisait pas Log4J 2.x, mais Log4J 1.x. La fondation Apache indique toutefois que les appenders JMS et ceux basés sur JNDI de Log4J 1.x peuvent aussi être potentiellement vulnérables.
La configuration Log4J livrée par défaut avec Simplicité n’utilise que des appenders basiques (console et fichier), donc si vous n’avez pas personnalisé cette configuration il n’y a pas de risques, dans le cas contraire assurez-vous de désactiver les éventuels appenders vulnérables que vous auriez ajoutés.