Commentaires : Qu'est-ce que Log4Shell, la vulnérabilité qui enflamme Internet?

Depuis plusieurs jours, Internet s’agite autour d’une vulnérabilité dans Log4j, un programme inconnu du grand public et pourtant utilisé dans un nombre très important de logiciels et applications web. Pourquoi cette faille est-elle si significative ? On vous explique.

2 « J'aime »

et bien, situation de crise, j’espère que tout le monde est occupé à patcher en ce moment

Pour résumer c’est ça :

26 « J'aime »

L’OSS c’est surtout beaucoup de dev qui sont dégoutés par leur boulot et qui cherchent a se faire plaisir (et aussi a se faire connaitre) et qui passent leurs soirees a développer de l’OSS.
Les grandes boites ne leur filent pas un centime et utilisent le fruit de leur travaille de passionné en tout légalité.
Le sponsoring commence a changer les choses mais nous sommes TRES LOIN d’une situation juste.

Merci pour l’article. Ce qui est effrayant c’est qu’il peut y en avoir encore quelques unes comme ça qui sont exploitées dans le plus grand secret depuis des années, ni vu ni connu.

Un vrai parc d’attraction pour hackers et autres agences…

2 « J'aime »

C’est tout à fait ça.

Excellent ! :smiley:

Une base de donnée des applications vulnérable en mode plus digeste pour les yeux est disponible ici: https://github.com/cisagov/log4j-affected-db

Vous pouvez tester la vulnérabilité de vos applications à l’aide de ce script Python sur github: https://github.com/fullhunt/log4j-scan

Vous pouvez chercher dans vos logs des traces d’exploitations à l’aide des informations données par l’ANSSI ainsi que d’autres conseils et recommendations : [MaJ] Vulnérabilité dans Apache Log4j – CERT-FR

Attention, l’attaque évolue et si vous avez un IPS et/ou un WAF mettez bien à jour avec les derniers patterns de detection an attendant de pouvoir faire le nécessaire pour fixer vos applications utilisant Log4j.

Mon équipe et moi on est crevé mais au moins il y a de l’action :slight_smile:

Bon courage à ceux qui subissent, c’est le feu depuis 1 semaine maintenant sur internet.

4 « J'aime »

Je veux pas mettre d’huile sur le feu mais c’est un problème Java… Les applications .Net ne sont pas impactées… Ok je sors. Bon courage à ceux qui bossent dessus.

1 « J'aime »

Presque que Java dû a sa présence prédominante un peu partout mais d’autres langages comme Scala, Groovy ou Clojure peuvent aussi être impactés car Apache Log4j existent aussi pour eux.

C’est important de bien regarder ce qu’on a et ne pas s’arrêter à Java mais bel et bien chercher Log4j, ce qui est toute la difficulté de cette vulnérabilité.

Très peu (je n’en ai vue aucune de mon vivant) de CMDB contiennent la liste des librairies utilisées pour une application donnée, encore moins avec la version de la librairie et encore moins quand c’est un soft propriétaire qu’on achète…

  • Comment ça va ?
  • Java moyen j’avoue :smiley:
5 « J'aime »

Je vais bientôt prendre l’avion, j’espère qu’ Airbus n’utilise pas de Java !

1 « J'aime »

Vous avez raison. J’ai été étonné de lire qu’Azure DevOps était impacté car le moteur de recherche était Elastic Search.

C’est très fort probable. Java est utilisé dans pas mal de logiciels embarqués. D’ailleurs on ne parle pas d’Androïd mais il me semble qu’on code (ou codait) avec du Java non?

L’enfer, le vrai, ca va être pour patcher tout ce qui est IoT :see_no_evil:

Faut pas blamer l’Open Source… Pour avoir fait pas mal d’audit dans ma carrière, personne ne met un kopek sur la sécurité: Il faut délivrer vite et la sécurité ca coûte trop cher… La très grande majorité des applis spécifiques developpées sont truffées de trous. Quand nous proposons de faire des analyses OWASP (le basique), personne n’en veut… Nous avons mis en place un framework de sécurité (analyse et processus de developpement) aucun client n’en veut car c’est trop cher… Bref, quand les décideurs prendront en compte le vrai coût d’un projet informatique on en reparlera… Pour les tests unitaires ca a mis 20 ans…

5 « J'aime »

Travaillant avec les technologies en cause depuis plus de 10 ans.
C’est quand même fou que des gens confonde librairie et langage de programmation.
Ce n’est pas un problème Java, c’est un problème d’une librairie très utilisé (parce que le log c’est quand même quelque chose de très fréquent).
Si une lib très utilisée en .Net venait a être compromise c’est pas .Net qui serait pourri mais juste la lib.

Java est un langage sûr comme .Net (et c’est surtout les VM qui doivent l’être parce qu’un langage sûr ça n’a pas trop de sens à mon avis). Les frameworks de base sont aussi de très bonne qualité dans les deux univers (Apache n’étant pas dans le framework de base).

Donc NON Java n’est pas le problème. En plus Log4J à beaucoup moins d’adepte qu’il y a 10 ans (aujourd’hui y’a SLF4J qui est pas mal utilisé aussi).

Le crédit de l’image ( c’est un minimum )

2 « J'aime »

Le langage « officiel » pour Android était effectivement Java. Maintenant c’est passé à Kotlin (mais Java reste supporté il me semble).

Mais il y a Java et Java. Le SDK Android gère le langage Java, mais derrière il n’y a pas toute la librairie standard de Java, seul un sous-ensemble de cette librairie est disponible, le reste étant remplacé/étendu avec la librairie standard Android.

Du coup, la librairie log4j ne peut pas être utilisé dans une application Android : elle utilise des API de la librairie standard Java qui ne sont pas disponible dans Android.

Il y a bien un portage d’une ancienne version vers Android, mais c’est une version qui n’est pas affectée par la faille. Et quand bien même une version récente serait portée, la faille ne serait pas forcément présente : elle est dans une portion de code qui appelle des API Java non disponibles sous Android, donc une portion de code qui serait forcément réécrite dans un portage de log4j sous Android.

Enfin, sous Android les applications s’exécutent dans des sandbox. Donc même si la vulnérabilité était présente, sa portée serait forcément largement moindre, à moins d’avoir un second exploit permettant en plus de sortir de la sandbox.

1 « J'aime »

Pour la petite histoire il y a beaucoup d’application de touchées. Même certaines suites VMware ou Cisco.
C’est un sacré b… cette histoire. Et tout ça parce qu’il y a un âne qui n’a rien trouvé de mieux de diffuser toutes les informations nécessaires à du piratage :face_with_raised_eyebrow::thinking:

1 « J'aime »