Sécurité
Pages enfant
  • ESUP-2021-AVI-001 - Log4shell

Comparaison des versions

Ancienne version 11

changes.mady.by.user Vincent Bonamy

Sauvegardée le

comparé à

Nouvelle version 12

changes.mady.by.user Vincent Bonamy

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Objet

Log4shell - CVE-2021-44228 vis à vis des applications ESUP

Référence

ESUP-2021-AVI-001

Date de la première version

12 décembre 2021

Date de la dernière version

12 décembre 2021

Source

CVE-2021-44228

Diffusion de cette version

Publique

Historique

  • 10 décembre 2021 : réception de la faille CVE-2021-44228 et CERTFR-2021-ALE-022 (Damien Berjoan)
  • 10-11 décembre 2021 : reproduction de l'exploit via des POC (Pascal Rigaux)
  • 11 décembre 2021 : état des lieux des applications ESUP affectés (coordination technique)
  • 12 décembre 2021 : rédaction de l'avis (Pascal Rigaux, Vincent Bonamy, Damien Berjoan)
  • 13 décembre 2021 : envoi de l'avis de sécurité à securite@esup-portail.org
  • 13 décembre 2021 : envoi de l'avis de sécurité à esup-utilisateurs@esup-portail.org
  • 13 décembre 2021 : publication de l'avis

Planning prévisionnel

-

Pièces jointes

-

Risque

  • Possibilité pour un attaquant d'envoyer et faire exécuter du code arbitraire à un serveur.

Systèmes affectés

La faille concerne toutes les versions de log4j 2.x. Elle est corrigée dans la version 2.15.0.

  • log4j (1.x) n'est pas concerné ; c'est un projet distinct de log4j2
  • la faille est exploitable dans toutes les versions de Java (notamment avec tomcat)
  • les versions à jour de java réduisent la surface d'attaque
  • Apereo CAS est particulièrement exposé

...

  • ≤ 4.0 : pas affecté
  • ≤ 5.2 : technique "mettre à jour" ou "zip" ou "firewall"
  • ≥ 5.3 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"
  • >= 6.3.7.2.ou >= 6.4.4 : versions des branches 6.3 et 6.4 (les seules maintenues ; les autres sont considérées comme obsolètes) corrigées

Nuxeo

  • 10.10 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"

...

esup-dematec

  • embarque des librairies log4j-2 à supprimer : log4j-api-2.8.2.jar log4j-core-2.8.2.jar
  • version 1.8.0 propose ce correctif - EsupDematEC - Changelog

Applications non concernées

  • esup-ecandidat
  • esup-mdw (MonDossierWeb v3)
  • esup-pod
  • esup-pstage
  • esup-signature

  • esup-smsu

  • esupUserApps / ProlongationENT

  • esup-sgc
  • esup-nfc-tag
  • esup-papercut
  • esup-pay
  • esup-helpdesk
  • uportal et portlets associées
  • shibboleth idp (sauf docker)
  • bbb 2.2
  • Ametys ODF

Librairies log Java

Pour déterminer si une application java est impactée il faut déterminer quelle librairie de log est utilisée.

En java, 3 librairies de logs sont principalement utilisées : log4j, log4j2 et logback.

log4j est la librairie historique. Elle tend à être remplacée par log4j2 ou logback.

slf4j peut-être utilisée comme API (couche d'abstraction) au dessus de ces librairies ; pour le développeur cela permet théoriquement de changer d'implémentation rapidement (passer de log4j2 à logback par exemple).

En tant qu'exploitant vous pouvez retrouver ces librairies sous forme de jar. Au niveau des sources, on retrouve leurs références généralement dans des fichiers pom.xml (maven) ou build.gradle (gradle).

Analyse des logs

Exemple avec un serveur Apereo CAS 

...