Alerte sécurité Apache LOG4J
Information du jeudi 16 décembre
Nous vous communiquons ici la liste d'inventaire des éditeurs/produits :
- https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
- https://github.com/NCSC-NL/log4shell/blob/main/software/README.md#software-overview
Voici les informations essentielles concernant nos principaux partenaires :
N'oubliez pas de mettre en place les actions ci-dessous dans les plus brefs délais :
- Inventorier les produits et services susceptibles de présenter cette vulnérabilité et faire un suivi du statut des éditeurs la concernant.
- Filtrer les flux sortants vers Internet des serveurs concernés
- Mettre en place un profil IPS pour bloquer l'exploitation de cette vulnérabilité depuis Internet
- Suivre les recommandations des éditeurs pour la mise en place de solutions de contournement (ex: paramètre "-Dlog4j2.formatMsgNoLookups=true" sur la ligne de commande de la JVM).
- Mettre à jour les applications et équipements concernés dès la sortie des mises à jour.
Information du lundi 13 décembre
Une vulnérabilité a été découverte dans la bibliothèque de journalisation « Apache log4j ». Cette bibliothèque est très souvent utilisée dans les projets de développement d'application Java/J2EE ainsi que par les éditeurs de solutions logicielles.
Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'évènement.
Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d'une page d'authentification qui journalise les erreurs d'authentification.