Log4j : le CERT-FR met (encore) à jour son bulletin d’alerte
Le 07 janvier 2022 à 09h10
1 min
Internet
Internet
Le CERT-FR vient, pour la huitième fois, de mettre à jour son bulletin d'alerte consacré à la vulnérabilité dans Apache Log4j.
La version 2.17.0 recommandée jusqu'à présent est en effet affectée par une vulnérabilité : CVE-2021-44832.
Elle permet à un attaquant autorisé à modifier le fichier de configuration Log4J d'effectuer une exécution de code à distance. La complexité de l'attaque étant élevée, le CERT-FR continue de recommander la mise à jour des composants Log4j à la version 2.17.0 pour java 8 et 2.12.3 pour java7.
Par ailleurs, il est fortement recommandé de rester attentif aux nouvelles vulnérabilités Log4j qui pourraient être identifiées à l'avenir ainsi qu'aux correctifs proposés par Apache, conclut le CERT-FR.
Le 07 janvier 2022 à 09h10
Commentaires (7)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 07/01/2022 à 12h57
Courage aux DSI …
Le 07/01/2022 à 15h45
Et aux devs, car c’est sur eux que la pression va retomber, les heures sup le soir etc. Le DSI, quand il y en a un, en prend pour son grade mais il n’est pas le seul.
Le 07/01/2022 à 16h26
Ceci dit ici vu les pré-requis il ne semble pas nécéssaire de faire un patching d’urgence
Le 07/01/2022 à 17h31
Si seulement les les librairies était commune et tirées depuis un dépôt de paquet.
Oups.
Le 07/01/2022 à 18h45
Ils sont tous partis en vacances au CERT-FR ?
Ça fait depuis le 28-30 décembre que l’info est sortie ailleurs X_X
Le 07/01/2022 à 19h47
Mais pourquoi ça sort encore une fois un vendredi :(
Le 08/01/2022 à 06h48
C’est à se demander comment ça pouvait marcher avant. Ça fera payer des astreintes à tout le monde