vaccin pour georchestra
25 views
Skip to first unread message
Fabrice Phung
Dec 13, 2021, 3:39:24 AM12/13/21
to georc...@googlegroups.com
Bonjour
Vous avez vu passer la faille log4j ?
https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/
De ce que j'ai compris en attendant il faut mettre
log4j2.formatMsgNoLookups à false dans les tomcat. Moins facile pour
ceux qui sont sur docker !
Il y a un moyen de prévention original
https://github.com/Cybereason/Logout4Shell
Vous avez vu passer la faille log4j ?
https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/
De ce que j'ai compris en attendant il faut mettre
log4j2.formatMsgNoLookups à false dans les tomcat. Moins facile pour
ceux qui sont sur docker !
Il y a un moyen de prévention original
https://github.com/Cybereason/Logout4Shell
François Van Der Biest
Dec 13, 2021, 4:32:18 AM12/13/21
to georchestra
Hello,
Pierre a déjà fait une première analyse. TL;DR: a priori nous ne sommes pas concernés (sauf ceux qui utilisent déjà ES).Une analyse plus poussée est en cours...
F.
--
--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra
Site web : http://www.georchestra.org
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes georchestra.
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/georchestra/64feeddb-3a7f-24b7-7321-36a13b68bc10%40phung.fr.
Landry Breuil
Dec 13, 2021, 10:40:02 AM12/13/21
to georc...@googlegroups.com
On 13/12/2021 10:32, François Van Der Biest wrote:
> Hello,
> Pierre a déjà fait une première analyse. TL;DR: a priori nous ne sommes
> pas concernés (sauf ceux qui utilisent déjà ES).
> Une analyse plus poussée est en cours...
de ce que je vois de
> Hello,
> Pierre a déjà fait une première analyse. TL;DR: a priori nous ne sommes
> pas concernés (sauf ceux qui utilisent déjà ES).
> Une analyse plus poussée est en cours...
https://nakedsecurity.sophos.com/2021/12/13/log4shell-explained-how-it-works-why-you-need-to-know-and-how-to-fix-it/
le fait d'utiliser log4j version 1 n'exonère pas .. plutôt le fait
qu'avec des jre récents (eg debian stable?) le vecteur d'attaque via
jndi/ldap est désactivé par défaut.
Note that Log4j 1.x is no longer supported at all, and a bug related to
Log4Shell, dubbed CVE-2021-4104, exists in this version.
https://github.com/advisories/GHSA-jfh8-c2jp-5v3q dit aussi
The v1 branch of Log4J which is considered End Of Life (EOL) is
vulnerable to other RCE vectors so the recommendation is to still update
to 2.15.0 where possible.
Mais moi et java.. enfin rien de nouveau sous le soleil, tout est de la
m**** et c'est pareil tout les jours :)
--
Landry Breuil
Responsable Informatique
04 44 05 12 42
----------------------------------------------------------------------------
Centre Régional Auvergne-Rhône-Alpes de l'Information Géographique
Hôtel de région
59 Boulevard Léon Jouhaux - CS 90706
63050 Clermont-Ferrand Cedex 2
https://www.craig.fr <https://www.craig.fr> - @GipCraig
----------------------------------------------------------------------------
> Support utilisateurs (tous les jours ouvrés de 8H30 à 12H30) : 09 72
62 25 31
Maël REBOUX
Dec 14, 2021, 10:36:22 AM12/14/21
to georc...@googlegroups.com
GeoSolutions a produit un billet de blog qui fait le point sur la situation
:
https://www.geosolutionsgroup.com/blog/geosolutions-lo4shell/
GeoServer, GeoWebCache and MapStore are not vulnerable to CVE-2021-44228
since they do not use Log4J2 but Log4J
GeoFence versions from 3.3.0 are not vulnerable to CVE-2021-44228 since they
do not use Log4J2 but Log4J while GeoFence versions older than that are
vulnerable since they use Log4J2
GeoNetwork is vulnerable to CVE-2021-44228 since it does use Log4J2
Concernant GeoNetwork, un message vient de passer sur les listes de
diffusion et indique que 2 versions patchées de GeoNetwork sont disponibles
au téléchargement :
We're proud to announce the releases of GeoNetwork opensource v3.10.10 and
v3.12.2 (http://geonetwork-opensource.org/) including the upgrade of the
library log4j2 to fix the vulnerability
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
*All users are urged to update their installations to correct this
vulnerability.*
You can find the software for v3.10.10 at
https://sourceforge.net/projects/geonetwork/files/GeoNetwork_opensource/v3.10.10/
and for v3.12.2 at
https://sourceforge.net/projects/geonetwork/files/GeoNetwork_opensource/v3.12.2/
You can find a list of new functionalities and fixes for v3.10.10 at
https://geonetwork-opensource.org/manuals/trunk/en/overview/change-log/version-3.10.10.html.
and for v3.12.2 at
https://geonetwork-opensource.org/manuals/trunk/en/overview/change-log/version-3.12.2.html
-----Message d'origine-----
De : georc...@googlegroups.com <georc...@googlegroups.com> De la part
de Landry Breuil
Envoyé : lundi 13 décembre 2021 16:40
À : georc...@googlegroups.com
Objet : [NEWSLETTER] Re: [georchestra] vaccin pour georchestra
:
https://www.geosolutionsgroup.com/blog/geosolutions-lo4shell/
GeoServer, GeoWebCache and MapStore are not vulnerable to CVE-2021-44228
since they do not use Log4J2 but Log4J
GeoFence versions from 3.3.0 are not vulnerable to CVE-2021-44228 since they
do not use Log4J2 but Log4J while GeoFence versions older than that are
vulnerable since they use Log4J2
GeoNetwork is vulnerable to CVE-2021-44228 since it does use Log4J2
Concernant GeoNetwork, un message vient de passer sur les listes de
diffusion et indique que 2 versions patchées de GeoNetwork sont disponibles
au téléchargement :
We're proud to announce the releases of GeoNetwork opensource v3.10.10 and
v3.12.2 (http://geonetwork-opensource.org/) including the upgrade of the
library log4j2 to fix the vulnerability
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
*All users are urged to update their installations to correct this
vulnerability.*
You can find the software for v3.10.10 at
https://sourceforge.net/projects/geonetwork/files/GeoNetwork_opensource/v3.10.10/
and for v3.12.2 at
https://sourceforge.net/projects/geonetwork/files/GeoNetwork_opensource/v3.12.2/
You can find a list of new functionalities and fixes for v3.10.10 at
https://geonetwork-opensource.org/manuals/trunk/en/overview/change-log/version-3.10.10.html.
and for v3.12.2 at
https://geonetwork-opensource.org/manuals/trunk/en/overview/change-log/version-3.12.2.html
-----Message d'origine-----
De : georc...@googlegroups.com <georc...@googlegroups.com> De la part
de Landry Breuil
Envoyé : lundi 13 décembre 2021 16:40
À : georc...@googlegroups.com
Objet : [NEWSLETTER] Re: [georchestra] vaccin pour georchestra
--
--
Vous avez reçu ce message, car vous êtes abonné au groupe Groupe
"georchestra" georc...@googlegroups.com voir
http://groups.google.fr/group/georchestra
Site web : http://www.georchestra.org
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes
georchestra.
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le
concernant, envoyez un e-mail à l'adresse
georchestra...@googlegroups.com.
Cette discussion peut être lue sur le Web à l'adresse
https://groups.google.com/d/msgid/georchestra/8ba629a9-2b4a-dce9-7bb6-f77c21b750b2%40craig.fr.
--
Vous avez reçu ce message, car vous êtes abonné au groupe Groupe
"georchestra" georc...@googlegroups.com voir
http://groups.google.fr/group/georchestra
Site web : http://www.georchestra.org
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes
georchestra.
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le
concernant, envoyez un e-mail à l'adresse
georchestra...@googlegroups.com.
Cette discussion peut être lue sur le Web à l'adresse
Reply all
Reply to author
Forward
0 new messages