...

...

• technique "mise à jour" : remplacer les jars de log4j-core par la version 2.15.0 ou supérieur (attention maven central fournit une version compilée pour Java ≥ 8)

• technique "zip" : supprimer la classe du jar

  Bloc de code
  language bash
  zip -q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

  NB : si vous lancez la commande en root, le jar appartiendra ensuite à root.

• technique "configurer" : si log4j-core ≥ 2.10, ajouter ceci à la ligne de commande java

  Bloc de code
  language bash
  -Dlog4j2.formatMsgNoLookups=true

  
  

• technique "firewall" : empêcher les requêtes TCP sortantes du serveur (faire un "REJECT" et pas un "DROP" sinon le RCE devient un DoS)

NB : il faut redémarrer le service pour appliquer la modification (sauf pour la technique "firewall")

...

• 10.10 : technique "mise à jour" ou "zip" ou "firewall" ou "configurer"

Elasticearch

Logstash

• technique
• à priori globalement protégé par l'usage d'un security manager de java (annonce)
• 6.5.3 debian 9 : technique "mise à jour" ou "zip" ou "firewall" ou (la technique "configurer" ne marche pas !)

Solr

• 8.57.9.1 : technique "mise à jour" ou "zip" ou "firewall" ou "configurer"

Logstash

• technique "zip" ou "firewall" (la technique "configurer" ne marche pas !)

Solr

ElasticSearch

• 5.x (versions 6 et 7 non concernées) : technique 8.5.1 : technique "mise à jour" ou "zip" ou "firewall" ou "configurer"

...

• esup-dematec (elle embarque des librairies log4j-2 qui ne sont pas utilisées : log4j (1) est utilisé : configuration par log4j.properties ; toutes versions)
• esup-ecandidat v2 (logback ; toutes versions)
• esup-mdw (MonDossierWeb v3 ; logback ; toutes versions)
• esup-pstage (log4jlog4j ; toutes versions)
• esup-signature (logbacklogback ; toutes versions)

• esup-smsu (log4jlog4j ; toutes versions)

• esupUserApps / ProlongationENT (log4jlog4j ; toutes versions)

• esup-sgc (logbacklogback ; toutes versions)
• esup-nfc-tag (logbacklogback ; toutes versions)
• esup-papercut (logbacklogback ; toutes versions)
• esup-pay (log4jlog4j ; toutes versions)
• esup-helpdesk (log4jlog4j ; toutes versions)
• esup-emargementemargement (logback ; toutes versions)
• (esup-) uportal (log4j puis logback) et portlets esup uportal et portlets associées  (log4j ; toutes versions)
• shibboleth idp (sauf docker ; logback ; logbacktoutes versions)

applications non java

• esup-pod, filex, esup-wayf, esup-otp-api, esup-otp-manager, sygal, ...

applications java non ESUP dans le périmètre ESR 

• bbb 2.2, ametys odf, ade (log4j via apache commons-logging), ksup (log4j puis logback),   confluence, Elasticsearch, ...

Autres applications

Voir cette liste de liens vers les annonces des éditeurs

Librairies log Java

Pour déterminer si une application java est impactée il faut déterminer quelle librairie de log est utilisée.

...

En tant qu'exploitant vous pouvez retrouver ces librairies sous forme de jar. Au niveau des sources, on retrouve leurs références généralement dans des fichiers pom.xml (maven) ou build.gradle (gradle) ; avec le jeu des dépendances, la référence peut cependant ne pas être explicite.

Vous pouvez aussi +/- retrouver l'implémentation de librairie de logs utilisée suivant les configurations de ces logs ; même si il peut y avoir des variantes, adaptation du développeur, configurations implicites ...  :

...

• CVE-2021-44228 : https://www.cve.org/CVERecord?id=CVE-2021-44228
• CERTFR-2021-ALE-022 : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

• CAS Log4J Vulnerability Disclosure : https://apereo.github.io/2021/12/11/log4j-vuln/

  Nous vous recommandons la lecture des deux articles suivants pour bien comprendre le mode opératoire des attaques exploitant cette vulnérabilité.
  [1] https://www.lunasec.io/docs/blog/log4j-zero-day/
  [2] https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/

...