Pages enfant
  • ESUP-2021-AVI-001 - Log4shell

Comparaison des versions

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.
Commentaire: erratum : elasticsearch 5.x est concernée

...

Objet

Log4shell - CVE-2021-44228 vis à vis des applications ESUP

Référence

ESUP-2021-AVI-001

Date de la première version

12 décembre 2021

Date de la dernière version

12 16 décembre 2021

Source

CVE-2021-44228

Diffusion de cette version

Publique

Historique

  • 10 décembre 2021 : réception de la faille CVE-2021-44228 et CERTFR-2021-ALE-022 (Damien Berjoan)
  • 10-11 décembre 2021 : reproduction de l'exploit via des POC (Pascal Rigaux)
  • 11 décembre 2021 : état des lieux des applications ESUP affectés affectées (coordination technique)
  • 12 décembre 2021 : rédaction de l'avis (Pascal Rigaux, Vincent Bonamy)
  • 12 décembre 2021 : revue de l'avis (Damien Berjoan)
  • 13 décembre 2021 : envoi de l'avis de sécurité à securite@esup-portail.org
  • 13 décembre 2021 : envoi de l'avis de sécurité à esup-utilisateurs@esup-portail.org
  • 13 décembre 2021 : publication de l'avis
  • 16 décembre 2021 : Elasticsearch 5.x est concernée

Planning prévisionnel

-

Pièces jointes

-

...

  • technique "mise à jour" : remplacer les jars de log4j-core par la version 2.15.0 ou supérieur (attention maven central fournit une version compilée pour Java ≥ 8)
  • technique "zip" : supprimer la classe du jar

    Bloc de code
    languagebash
    zip -q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

    NB : si vous lancez la commande en root, le jar appartiendra ensuite à root.

  • technique "configurer" : si log4j-core ≥ 2.10, ajouter ceci à la ligne de commande java

    Bloc de code
    languagebash
    -Dlog4j2.formatMsgNoLookups=true


  • technique "firewall" : empêcher les requêtes TCP sortantes du serveur (faire un "REJECT" et pas un "DROP" sinon le RCE devient un DoS)

...

  • 8.5.1 : technique "mise à jour" ou "zip" ou "firewall" ou "configurer"

ElasticSearch

...

  • bbb 2.2, ametys odf, ade (log4j via apache commons-logging), ksup (log4j puis logback), confluence, Elasticsearch, ...

Autres applications

Voir cette liste de liens vers les annonces des éditeurs

...