Tous les projets

Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Cette bibliothèque est très souvent utilisée dans les projets de développement d'application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE.
Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d'une page d'authentification qui journalise les erreurs d'authentification.

L’ensemble des serveurs Magic Online disposant d’une protection Firewall Fortinet – Infogéré sont protégés automatiquement par cette vulnérabilité. Celle-ci est bloquée par le composant IPS du  Firewall.

Les serveurs ne disposant pas de cette protection ayant un service utilisant Log4j exposé sur internet peuvent être vulnérable; nous vous invitons à vérifier que ce service n’est pas impacté par cette vulnérabilité en consultant la page suivante : https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

En complément, il est également possible d’effectuer une analyse de vos données présente sur votre serveur, avec l’outil log4shell (source : https://github.com/lunasec-io/lunasec/releases/tag/v1.0.0-log4shell )

Exemple d’utilisation

• wget http://technique.sd-france.net/log4shell -O ~/log4shell ; chmod +x ~/log4shell
• log4shell scan /path/

Exemple de sortie indiquant une vulnérabilité :

8:08AM INF identified vulnerable path fileName=org/apache/logging/log4j/core/net/JndiManager$1.class path=test/struts-2.5.28-all/struts-2.5.28/apps/struts2-rest-showcase.war::WEB-INF/lib/log4j-core-2.12.1.jar versionInfo="log4j 2.8.2-2.12.0

Une opération de maintenance sera effectuée sur l'interface du service Antispam.
Durant la maintenance, l’interface https://antispam.magic.fr ne sera pas disponible.


Durée de coupure prévue : 6h à 8h
La maintenance aura lieu : Lundi 3 décembre à 9h.

Une opération de maintenance sera effectuée sur le service "Répartition de charge".
Durant la maintenance, quelques pertes de paquets sont possibles.


Durée de coupure prévue : 12h05 à 12h07
La maintenance aura lieu : Mardi 8 Janvier à 12h05.

Bonjour,

Dans le cadre des contrats d'infogérance et supervisions de vos serveurs, nous vous informons qu'une intervention planifiée aura lieu mardi 12/01/2021 de 9h à 18h.

Cette opération pourra générer, durant la plage de maintenance d'un temps de  traitements plus long concernant les alertes remontées par notre monitoring.

Ces travaux sont nécessaires pour assurer l'évolution de notre monitoring et ainsi en améliorer la qualité de service.

Nos équipes sont mobilisées  pour limiter au maximum l'éventuelle nuisance liée à cette intervention.

Nous vous remercions par avance de votre compréhension et restons à votre disposition pour toute information complémentaire.

Bien cordialement.

L’équipe Support Magic 

PS: Concernant les clients en contrat Supervision, une connexion a vos serveurs sera réalisée par notre support.