Jalios Community
A critical vulnerability has been identified in the log4j2 library
In addition, we are aware of other vulnerabilities affecting log4j version 1.x
However, we invite you
(*) Message of ceki, author of log4j 1.x library : http://slf4j.org/log4shell.html
(**) Messages on Tomcat user mailing list : Mark Thomas on Sat, 11 Dec 2021 23:39:50 GMT, Mark Thomas on Mon, 13 Dec 2021 09:40:32 GMT
[Edit : 2021-12-12 15:10 - Post updated to include precision on vulnerability CVE-2021-4104]
[Edit : 2021-12-13 9:00 - Added link related to CVE-2021-4104]
Ressources annexes :
https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/
https://www.docker.com/blog/apache-log4j-2-cve-2021-44228/
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
https://github.com/Cybereason/Logout4Shell
https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/
La communication de ces liens ne saurait être une approbation de leurs contenus par Jalios. Ils sont fournis à titre d'information.
Merci pour toutes ces infos !
Pour information, jodconverter, utilisé pour la conversion des documents Office en PDF par le PDF Converter Plugin 5.6, n'est pas touché non plus (il n'utilise pas log4j d'après ce que j'ai vu).
Merci Pierre MORIN, j'aurais effectivement pu lister l'ensemble des produits Jalios. Notre analyse montre qu'à ce jour, aucun de nos produits n'est vulnérable à ces failles.
Merci Olivier Jaquemet , j'ai pu effectivement constater entre temps que ni le serveur Horizon (en JS), ni l'application JMobile ne semblent touchées.
Je n'ai pas le code source de l'application JDrive, mais je n'ai pas à vérifier grâce à votre dernier message. 😉