Sécurité
Pages enfant
  • ESUP-2021-AVI-001 - Log4shell

Vous regardez une version antérieure (v. /wiki/spaces/SECU/pages/1073315849/ESUP-2021-AVI-001+-+Log4shell) de cette page.

afficher les différences afficher l'historique de la page

« Afficher la version précédente Vous regardez la version actuelle de cette page. (v. 3) afficher la version suivante »

La faille concerne toutes les versions de log4j 2.x . Elle est corrigée dans la version 2.15.0 .

Techniques pour fermer le trou de sécurité

  • technique "mettre à jour" : remplacer les jars de log4j-core par la version 2.15.0 (attention maven central fournit une version compilée pour Java ≥ 8)

  • technique "zip" : supprimer la classe du jar

    zip -q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

  • technique "configurer" : si log4j-core ≥ 2.10, ajouter ceci à la ligne de commande java

    -Dlog4j2.formatMsgNoLookups=true
  • technique "firewall" : empêcher les requêtes TCP sortantes du serveur

NB : il faut redémarrer le service pour appliquer la modification (sauf pour la technique "firewall")

Applications concernées

CAS

  • ≤ 4.0 : pas affecté
  • ≤ 5.2 : technique "mettre à jour" ou "zip" ou "firewall"
  • ≥ 5.3 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"

nuxeo

  • 10.10 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"

elasticearch

  • 6.5.3 debian 9 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"
  • 7.9.1 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"

Applications non concernées

  • shibboleth idp
  • esup-signature
  • esup-ecandidat

  • esup-smsu

  • esup-pstage

  • esupUserApps / ProlongationENT


  • Aucune étiquette