...
Objet | Log4shell - CVE-2021-44228 vis à vis des applications ESUP |
Référence | ESUP-2021-AVI-001 |
Date de la première version | 12 décembre 2021 |
Date de la dernière version | 12 16 décembre 2021 |
Source | CVE-2021-44228 |
Diffusion de cette version | Publique |
Historique |
|
Planning prévisionnel | - |
Pièces jointes | - |
...
- technique "mise à jour" : remplacer les jars de log4j-core par la version 2.15.0 ou supérieur (attention maven central fournit une version compilée pour Java ≥ 8)
technique "zip" : supprimer la classe du jar
Bloc de code language bash zip -q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
NB : si vous lancez la commande en root, le jar appartiendra ensuite à root.
technique "configurer" : si log4j-core ≥ 2.10, ajouter ceci à la ligne de commande java
Bloc de code language bash -Dlog4j2.formatMsgNoLookups=true
- technique "firewall" : empêcher les requêtes TCP sortantes du serveur (faire un "REJECT" et pas un "DROP" sinon le RCE devient un DoS)
...
- 10.10 : technique "mise à jour" ou "zip" ou "firewall" ou "configurer"
Elasticearch
Logstash
- technique "
- à priori globalement protégé par l'usage d'un security manager de java (annonce)
- 6.5.3 debian 9 : technique "mise à jour" ou "zip" ou "firewall" ou (la technique "configurer" ne marche pas !)
Solr
- 8.57.9.1 : technique "mise à jour" ou "zip" ou "firewall" ou "configurer"
Logstash
- technique "zip" ou "firewall" (la technique "configurer" ne marche pas !)
Solr
ElasticSearch
- 5.x (versions 6 et 7 non concernées) : technique "8.5.1 : technique "mise à jour" ou "zip" ou "firewall" ou "configurer"
...
- bbb 2.2, ametys odf, ade (log4j via apache commons-logging), ksup (log4j puis logback), confluence,
Elasticsearch, ...
Autres applications
Voir cette liste de liens vers les annonces des éditeurs
...
- CVE-2021-44228 : https://www.cve.org/CVERecord?id=CVE-2021-44228
- CERTFR-2021-ALE-022 : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
CAS Log4J Vulnerability Disclosure : https://apereo.github.io/2021/12/11/log4j-vuln/Nous vous recommandons la lecture des deux articles suivants pour bien comprendre le mode opératoire des attaques exploitant cette vulnérabilité.
[1] https://www.lunasec.io/docs/blog/log4j-zero-day/
[2] https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/
...