Travaux en cours

  • État Terminé
  • Pourcentage achevé
    0%
  • Type Information
  • Catégorie Général
  • Sévérité Critique
  • Échéance 13.12.2021
    836 Jours de retard
Concerne le projet: Travaux en cours
Ouverte par Magic OnLine - 14.12.2021
Dernière modification par Magic OnLine - 15.12.2021

FS#117 - BULLETIN D'ALERTE LOG4J

Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Cette bibliothèque est très souvent utilisée dans les projets de développement d'application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE.
Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d'une page d'authentification qui journalise les erreurs d'authentification.

L’ensemble des serveurs Magic Online disposant d’une protection Firewall Fortinet – Infogéré sont protégés automatiquement par cette vulnérabilité. Celle-ci est bloquée par le composant IPS du  Firewall.

Les serveurs ne disposant pas de cette protection ayant un service utilisant Log4j exposé sur internet peuvent être vulnérable; nous vous invitons à vérifier que ce service n’est pas impacté par cette vulnérabilité en consultant la page suivante : https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

En complément, il est également possible d’effectuer une analyse de vos données présente sur votre serveur, avec l’outil log4shell (source : https://github.com/lunasec-io/lunasec/releases/tag/v1.0.0-log4shell )

Exemple d’utilisation

  • wget http://technique.sd-france.net/log4shell -O ~/log4shell ; chmod +x ~/log4shell
  • log4shell scan /path/

Exemple de sortie indiquant une vulnérabilité :

8:08AM INF identified vulnerable path fileName=org/apache/logging/log4j/core/net/JndiManager$1.class path=test/struts-2.5.28-all/struts-2.5.28/apps/struts2-rest-showcase.war::WEB-INF/lib/log4j-core-2.12.1.jar versionInfo="log4j 2.8.2-2.12.0

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche