On 13/12/2021 10:32, François Van Der Biest wrote:
> Hello,
> Pierre a déjà fait une première analyse. TL;DR: a priori nous ne sommes
> pas concernés (sauf ceux qui utilisent déjà ES).
> Une analyse plus poussée est en cours...
de ce que je vois de
https://nakedsecurity.sophos.com/2021/12/13/log4shell-explained-how-it-works-why-you-need-to-know-and-how-to-fix-it/
le fait d'utiliser log4j version 1 n'exonère pas .. plutôt le fait
qu'avec des jre récents (eg debian stable?) le vecteur d'attaque via
jndi/ldap est désactivé par défaut.
Note that Log4j 1.x is no longer supported at all, and a bug related to
Log4Shell, dubbed CVE-2021-4104, exists in this version.
https://github.com/advisories/GHSA-jfh8-c2jp-5v3q dit aussi
The v1 branch of Log4J which is considered End Of Life (EOL) is
vulnerable to other RCE vectors so the recommendation is to still update
to 2.15.0 where possible.
Mais moi et java.. enfin rien de nouveau sous le soleil, tout est de la
m**** et c'est pareil tout les jours :)
--
Landry Breuil
Responsable Informatique
04 44 05 12 42
----------------------------------------------------------------------------
Centre Régional Auvergne-Rhône-Alpes de l'Information Géographique
Hôtel de région
59 Boulevard Léon Jouhaux - CS 90706
63050 Clermont-Ferrand Cedex 2
https://www.craig.fr <
https://www.craig.fr> - @GipCraig
----------------------------------------------------------------------------
> Support utilisateurs (tous les jours ouvrés de 8H30 à 12H30) : 09 72
62 25 31