Sécurité
Pages enfant
  • ESUP-2021-AVI-001 - Log4shell

Vous regardez une version antérieure (v. /wiki/spaces/SECU/pages/1073315849/ESUP-2021-AVI-001+-+Log4shell) de cette page.

afficher les différences afficher l'historique de la page

« Afficher la version précédente Vous regardez la version actuelle de cette page. (v. 6) afficher la version suivante »

La faille concerne toutes les versions de log4j 2.x . Elle est corrigée dans la version 2.15.0 .

NB :

  • log4j 1.x n'est pas concerné
  • la faille est exploitable dans toutes les versions de Java (notamment avec tomcat)

Techniques pour fermer la faille

  • technique "mettre à jour" : remplacer les jars de log4j-core par la version 2.15.0 (attention maven central fournit une version compilée pour Java ≥ 8)

  • technique "zip" : supprimer la classe du jar

    zip -q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

  • technique "configurer" : si log4j-core ≥ 2.10, ajouter ceci à la ligne de commande java

    -Dlog4j2.formatMsgNoLookups=true
  • technique "firewall" : empêcher les requêtes TCP sortantes du serveur

NB : il faut redémarrer le service pour appliquer la modification (sauf pour la technique "firewall")

Applications concernées

CAS

  • ≤ 4.0 : pas affecté
  • ≤ 5.2 : technique "mettre à jour" ou "zip" ou "firewall"
  • ≥ 5.3 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"

nuxeo

  • 10.10 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"

elasticearch

  • 6.5.3 debian 9 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"
  • 7.9.1 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"

Applications non concernées

  • esup-ecandidat
  • esup-mdw (MonDossierWeb v3)
  • esup-pod
  • esup-pstage
  • esup-signature

  • esup-smsu

  • esupUserApps / ProlongationENT

  • shibboleth idp

  • Aucune étiquette