Vulnérabilité Log4j - Produits Jalios non concernés
Plusieurs vulnérabilités critiques ont été identifiées dans la librairie log4j2 :
Par ailleurs, nous avons également connaissance d'autres vulnérabilités affectant la version 1.x de log4j
- CVE-2019-17571, SNYK-JAVA-LOG4J-572732 lié à la désérialisation de données non fiables
- CVE-2020-9488, SNYK-JAVA-LOG4J-1300176 lié à l'utilisation du SMTP Appender
- CVE-2021-4104, SNYK-JAVA-LOG4J-2316893 lié à l'utilisation du JMS Appender
- CVE-2022-23302, SNYK-JAVA-LOG4J-2342647 lié à l'utilisation du JMSSink
- CVE-2022-23305, SNYK-JAVA-LOG4J-2342645 lié à l'utilisation du JDBCAppender
- CVE-2022-23307, SNYK-JAVA-LOG4J-2342646 lié à la désérialisation de données non fiables
- CVE-2023-26464, SNYK-JAVA-LOG4J-3358774 lié à l'utilisation de Chainsaw ou SocketAppender
Nous vous invitons cependant :
- À auditer vos éventuels développements spécifiques JPlatform pour rechercher l'usage de log4j2 et mettre à jour la version vulnérable
- À auditer l'ensemble de votre système d'information pour rechercher les applications utilisant ces librairies vulnérables et à procéder à leur mise à jour
Bien que les produits Jalios ne soient pas vulnérables aux vulnérabilités log4j 1.x évoquées ci-dessus, JPlatform 10 SP6 remplace la librairie log4j 1.x par la librairie reload4j (cf JCMS-9107)
(*) Message de ceki, auteur de la librairie log4j 1.x : http://slf4j.org/log4shell.html
(**) Messages sur la liste de diffusions des utilisateurs de Tomcat : Mark Thomas on Sat, 11 Dec 2021 23:39:50 GMT, Mark Thomas on Mon, 13 Dec 2021 09:40:32 GMT
[Edit : 2021-12-12 15h10 - Billet mis à jour pour précision sur la vulnérabilité CVE-2021-4104]
[Edit : 2021-12-12 9h00 - ajout de lien concernant la vulnérabilité CVE-2021-4104]
[Edit : 2022-01-13 - ajout de liens sur l'ensemble des vulnérabilités de log4j]
[Edit : 2022-01-19 - ajout de liens sur des vulnérabilités de log4j 1.x récemment identifiées et n'affectant pas plus les produits Jalios]
[Edit : 2022-04-01 - ajout d'information sur le passage à reload4j dans JPlatform 10 SP6]
[Edit : 2023-05-04 - ajout de liens sur la vulnérabilité de log4j 1.x CVE-2023-26464 et n'affectant pas plus les produits Jalios]