Log4Dhell

[Jo Engo]

Un exploit qui peut faire des dégâts : Log4shell

Y a-t-il une parade, log4j sera-t-il mis à jour dans les dépôts *ux ?
Sur ma debian je peux voir que je ne l'ai pas (je parle de Log4J, donc a
priori aussi de log4shell, mais comment vérifier ?), et sur mon
téléphone ???

--
Comme toute science, la mathématique ne peut être construite sur la
seule logique.
-+- David Hilbert, Les fondements des mathématiques -+-

[Jo Engo]

Il y a une faute de frappe dans le sujet. Je cause bien de Log4Shell

Le Tue, 28 Dec 2021 09:14:53 -0000 (UTC), Jo Engo a écrit :

> Un exploit qui peut faire des dégâts : Log4shell
>
> Y a-t-il une parade, log4j sera-t-il mis à jour dans les dépôts *ux ?
> Sur ma debian je peux voir que je ne l'ai pas (je parle de Log4J, donc a
> priori aussi de log4shell, mais comment vérifier ?), et sur mon
> téléphone ???





--

On ne devrait s'étonner que de pouvoir encore s'étonner.
-+- François de La Rochefoucauld (1613-1680), Maximes 384 -+-

[Marc SCHAEFER]

Jo Engo <y...@icite.fr> wrote:
> Un exploit qui peut faire des dégâts : Log4shell

Si on a du Java installé. J'ai fait le tour de mes serveurs de
production, pas de runtime Java du tout.

> Y a-t-il une parade, log4j sera-t-il mis à jour dans les dépôts *ux ?

Oui, Debian a déjà fait plusieurs mises à jour (à voir ce n'est pas
facile).

> priori aussi de log4shell, mais comment vérifier ?), et sur mon
> téléphone ???

Ah, évidemment, un téléphone est un nid à Java.

D'autant plus que dans le monde Java on aime livrer l'ensemble des
dépendances sous forme d'un zip, donc il ne suffit pas de mettre à jour
la dépendance, encore faut-il ouvrir tous les zip, mettre à jour, etc.

Un peu le problème du Flatpak ou autres formats `auto-contenus' sous OS
standard.

[Jo Engo]

Le Tue, 28 Dec 2021 09:19:54 -0000 (UTC), Marc SCHAEFER a écrit :

>> Y a-t-il une parade, log4j sera-t-il mis à jour dans les dépôts *ux ?
>
> Oui, Debian a déjà fait plusieurs mises à jour (à voir ce n'est pas
> facile).

Vu que je n'ai pas d'application web (opértionnelle), j'ai viré tout ce
qui s'appellait log4j sans problème de dépendance : c'etait installé pour
faire joli, ou quoi ?


--
W W W
W W W Wow! What a Woman!
W W W (nine pairs of breasts!)
-- Breton, J.C.

[Marc SCHAEFER]

Jo Engo <y...@icite.fr> wrote:
> Vu que je n'ai pas d'application web (opértionnelle), j'ai viré tout ce
> qui s'appellait log4j sans problème de dépendance : c'etait installé pour
> faire joli, ou quoi ?

Il se peut aussi qu'une application Desktop Java l'utilise.

Le plus simple serait de désinstaller le runtime Java complet, de
manière à ce que la commande java ne marche plus.

[Nicolas George]

Marc SCHAEFER , dans le message <sqeqot$o3g$1...@shakotay.alphanet.ch>, a
écrit :

> Il se peut aussi qu'une application Desktop Java l'utilise.

Si l'application n'est pas exposée au réseau, il n'y a pas de risque. Si
elle est exposée au réseau mais pas passivement, le risque est complètement
gérable.

[Jo Engo]

Le 28 Dec 2021 15:16:35 GMT, Nicolas George a écrit :

> Si l'application n'est pas exposée au réseau, il n'y a pas de risque.

J'aurais dû creuser ça plus profondément. En fait il semblerait que si,
mais je n'ai pas lu comment.



--
L'homme n'est qu'un roseau, le plus faible de la nature ;
mais c'est un roseau pensant.
-+- Blaise Pascal (1623-1662), Pensées VI.347 -+-