Forum Clubic

Commentaires : Qu'est-ce que Log4Shell, la vulnérabilité qui enflamme Internet?

Depuis plusieurs jours, Internet s’agite autour d’une vulnérabilité dans Log4j, un programme inconnu du grand public et pourtant utilisé dans un nombre très important de logiciels et applications web. Pourquoi cette faille est-elle si significative ? On vous explique.

2 J'aime

et bien, situation de crise, j’espère que tout le monde est occupé à patcher en ce moment

Pour résumer c’est ça :

28 J'aime

L’OSS c’est surtout beaucoup de dev qui sont dégoutés par leur boulot et qui cherchent a se faire plaisir (et aussi a se faire connaitre) et qui passent leurs soirees a développer de l’OSS.
Les grandes boites ne leur filent pas un centime et utilisent le fruit de leur travaille de passionné en tout légalité.
Le sponsoring commence a changer les choses mais nous sommes TRES LOIN d’une situation juste.

Merci pour l’article. Ce qui est effrayant c’est qu’il peut y en avoir encore quelques unes comme ça qui sont exploitées dans le plus grand secret depuis des années, ni vu ni connu.

Un vrai parc d’attraction pour hackers et autres agences…

2 J'aime

C’est tout à fait ça.

Excellent ! :smiley:

Une base de donnée des applications vulnérable en mode plus digeste pour les yeux est disponible ici: https://github.com/cisagov/log4j-affected-db

Vous pouvez tester la vulnérabilité de vos applications à l’aide de ce script Python sur github: https://github.com/fullhunt/log4j-scan

Vous pouvez chercher dans vos logs des traces d’exploitations à l’aide des informations données par l’ANSSI ainsi que d’autres conseils et recommendations : [MaJ] Vulnérabilité dans Apache Log4j – CERT-FR

Attention, l’attaque évolue et si vous avez un IPS et/ou un WAF mettez bien à jour avec les derniers patterns de detection an attendant de pouvoir faire le nécessaire pour fixer vos applications utilisant Log4j.

Mon équipe et moi on est crevé mais au moins il y a de l’action :slight_smile:

Bon courage à ceux qui subissent, c’est le feu depuis 1 semaine maintenant sur internet.

5 J'aime

Je veux pas mettre d’huile sur le feu mais c’est un problème Java… Les applications .Net ne sont pas impactées… Ok je sors. Bon courage à ceux qui bossent dessus.

1 J'aime

Presque que Java dû a sa présence prédominante un peu partout mais d’autres langages comme Scala, Groovy ou Clojure peuvent aussi être impactés car Apache Log4j existent aussi pour eux.

C’est important de bien regarder ce qu’on a et ne pas s’arrêter à Java mais bel et bien chercher Log4j, ce qui est toute la difficulté de cette vulnérabilité.

Très peu (je n’en ai vue aucune de mon vivant) de CMDB contiennent la liste des librairies utilisées pour une application donnée, encore moins avec la version de la librairie et encore moins quand c’est un soft propriétaire qu’on achète…

  • Comment ça va ?
  • Java moyen j’avoue :smiley:
5 J'aime

Je vais bientôt prendre l’avion, j’espère qu’ Airbus n’utilise pas de Java !

1 J'aime

Vous avez raison. J’ai été étonné de lire qu’Azure DevOps était impacté car le moteur de recherche était Elastic Search.

C’est très fort probable. Java est utilisé dans pas mal de logiciels embarqués. D’ailleurs on ne parle pas d’Androïd mais il me semble qu’on code (ou codait) avec du Java non?

L’enfer, le vrai, ca va être pour patcher tout ce qui est IoT :see_no_evil:

J’ai envie de dire … « Rien de neuf dans l’Open Source »

Faut pas blamer l’Open Source… Pour avoir fait pas mal d’audit dans ma carrière, personne ne met un kopek sur la sécurité: Il faut délivrer vite et la sécurité ca coûte trop cher… La très grande majorité des applis spécifiques developpées sont truffées de trous. Quand nous proposons de faire des analyses OWASP (le basique), personne n’en veut… Nous avons mis en place un framework de sécurité (analyse et processus de developpement) aucun client n’en veut car c’est trop cher… Bref, quand les décideurs prendront en compte le vrai coût d’un projet informatique on en reparlera… Pour les tests unitaires ca a mis 20 ans…

5 J'aime

Je pense que tu as 100% raison !

Mais pour avoir été raillé dans le passé à chaque fois que j’avais affaire aux « extrémistes du libre et de l’open source » cette phrase était une petite vengeance personnelle ! :grin:

Travaillant avec les technologies en cause depuis plus de 10 ans.
C’est quand même fou que des gens confonde librairie et langage de programmation.
Ce n’est pas un problème Java, c’est un problème d’une librairie très utilisé (parce que le log c’est quand même quelque chose de très fréquent).
Si une lib très utilisée en .Net venait a être compromise c’est pas .Net qui serait pourri mais juste la lib.

Java est un langage sûr comme .Net (et c’est surtout les VM qui doivent l’être parce qu’un langage sûr ça n’a pas trop de sens à mon avis). Les frameworks de base sont aussi de très bonne qualité dans les deux univers (Apache n’étant pas dans le framework de base).

Donc NON Java n’est pas le problème. En plus Log4J à beaucoup moins d’adepte qu’il y a 10 ans (aujourd’hui y’a SLF4J qui est pas mal utilisé aussi).

Le crédit de l’image ( c’est un minimum )

2 J'aime