PDFwww.?
Sécurité - CVE

Sécurité : Message d’information concernant les failles Log4J

Mise à jour du 2021-12-21

Alertes de sécurité :

* CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 et ESA-2021-31

Synthèse :

BlueMind version 3.5 n’est pas impacté

BlueMind version 4 n’est pas impacté à partir de la version 4.0.3

Détail :

BlueMind, la solution développée par BueMind, n’utilise pas log4j mais logback
Seul un composant intégré à la solution BlueMind utilise log4J, il s’agit d’ElasticSearch

En version 3.5 de BlueMind

La version d’ElasticSearch intégrée n’utilise pas log4j 2 mais log4j 1 qui n’est pas affecté par cette faille
Lien : http://slf4j.org/log4shell.html

=> BlueMind 3.5 n’est pas impacté

En version 4.x de BlueMind

La version d’ElasticSearch intégrée est la 6.8.12 qui n’est pas impactée par la faille log4j
Lien : https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476

De plus à partir de BlueMind 4.0.3 la JVM utilisée est en version supérieure à 8u191 donc non impactée par la faille (JNDI est désactivé par défaut)
Lien : https://www.lunasec.io/docs/blog/log4j-zero-day/
Lien : https://www-cnblogs-com.translate.goog/yyhuni/p/15088134.html?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US

=> BlueMind 4.x n’est pas impacté

Mises à jour et suivi :

Nous restons très attentifs aux évolutions de cette faille.

Note: certains scanners de vulnérabilités peuvent faire ressortir de faux positifs du fait de la présence d’ElasicSearch et de Sentry (ces scanners se contentant de lister les jar contenant JndiLookup.class, même s’il n’est pas utilisé et que ce n’est en réalité pas la même classe, juste le nom étant identique) en indiquant qu’ils seraient vulnérables et que donc BlueMind serait vulnérable

Donc afin que les scanners de sécurité ne remontent pas de faux positifs et une fausse information qui pourrait inquiéter :

A partir de BlueMind 4.6.5 nous avons désactivé log4shell dans ElasticSearch, ajouté la paramètre -Dlog4j2.formatMsgNoLookups=true à la JVM d’ElasticSearch et mis à jour ElasticSearch en 6.8.20

A partir de BlueMind 4.6.6 nous avons mis à jour ElasticSearch en version 6.8.22 et supprimé la classe JndiLookup.class du jar Sentry

Lien : https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
« Elastiscsearch 582 and Logstash 484 7.16.2 and 6.8.22 are now released, these releases include Log4j 2.17.0 and should not trigger false positives in vulnerability scanners. »

voir aussi
Sécurité - CVE

Alertes de sécurité : CVE-2022-23713, CVE-2022-23714

Sécurité - CVE

Sécurité : Message d’information concernant les failles Java SE

Voir toutes les actualités