Sécurité
Pages enfant
  • ESUP-2021-AVI-001 - Log4shell

Comparaison des versions

Ancienne version 30

changes.mady.by.user Vincent Bonamy

Sauvegardée le

comparé à

Nouvelle version Actuel

changes.mady.by.user Vincent Bonamy

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.
Commentaire: erratum : elasticsearch 5.x est concernée

...

Objet

Log4shell - CVE-2021-44228 vis à vis des applications ESUP

Référence

ESUP-2021-AVI-001

Date de la première version

12 décembre 2021

Date de la dernière version

12 16 décembre 2021

Source

CVE-2021-44228

Diffusion de cette version

Publique

Historique

  • 10 décembre 2021 : réception de la faille CVE-2021-44228 et CERTFR-2021-ALE-022 (Damien Berjoan)
  • 10-11 décembre 2021 : reproduction de l'exploit via des POC (Pascal Rigaux)
  • 11 décembre 2021 : état des lieux des applications ESUP affectés affectées (coordination technique)
  • 12 décembre 2021 : rédaction de l'avis (Pascal Rigaux, Vincent Bonamy)
  • 12 décembre 2021 : revue de l'avis (Damien Berjoan)
  • 13 décembre 2021 : envoi de l'avis de sécurité à securite@esup-portail.org
  • 13 décembre 2021 : envoi de l'avis de sécurité à esup-utilisateurs@esup-portail.org
  • 13 décembre 2021 : publication de l'avis
  • 16 décembre 2021 : Elasticsearch 5.x est concernée

Planning prévisionnel

-

Pièces jointes

-

...

  • technique "mise à jour" : remplacer les jars de log4j-core par la version 2.15.0 ou supérieur (attention maven central fournit une version compilée pour Java ≥ 8)

  • technique "zip" : supprimer la classe du jar

    Bloc de code
    languagebash
    zip -q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

    NB : si vous lancez la commande en root, le jar appartiendra ensuite à root.

  • technique "configurer" : si log4j-core ≥ 2.10, ajouter ceci à la ligne de commande java

    Bloc de code
    languagebash
    -Dlog4j2.formatMsgNoLookups=true


  • technique "firewall" : empêcher les requêtes TCP sortantes du serveur (faire un "REJECT" et pas un "DROP" sinon le RCE devient un DoS)

...

  • 10.10 : technique "mise à jour" ou "zip" ou "firewall" ou "configurer"

Elasticearch

Logstash

  • technique
  • à priori globalement protégé par l'usage d'un security manager de java (annonce)
  • 6.5.3 debian 9 : technique "mise à jour" ou "zip" ou "firewall" ou (la technique "configurer" ne marche pas !)

Solr

  • 8.57.9.1 : technique "mise à jour" ou "zip" ou "firewall" ou "configurer"

Logstash

  • technique "zip" ou "firewall" (la technique "configurer" ne marche pas !)

Solr

ElasticSearch

...

  • bbb 2.2, ametys odf, ade (log4j via apache commons-logging), ksup (log4j puis logback), confluence, Elasticsearch, ...

Autres applications

Voir cette liste de liens vers les annonces des éditeurs

...

En tant qu'exploitant vous pouvez retrouver ces librairies sous forme de jar. Au niveau des sources, on retrouve leurs références généralement dans des fichiers pom.xml (maven) ou build.gradle (gradle) ; avec le jeu des dépendances, la référence peut cependant ne pas être explicite.

Vous pouvez aussi +/- retrouver l'implémentation de librairie de logs utilisée suivant les configurations de ces logs ; même si il peut y avoir des variantes, adaptation du développeur, configurations implicites ...  :

...

...