Technologie

Vulnérabilité Log4J

Le 10 décembre 2021, un bug dans Log4J, un mécanisme de journalisation omniprésent dans de nombreuses applications Java, a été rendu public.
Rodrigo Demetrio
2 min

Le 10 décembre 2021, un bug dans Log4J, un mécanisme de journalisation omniprésent dans de nombreuses applications Java, a été rendu public. Vous pouvez trouver des informations détaillées sur CVE-2021-44228 en cliquant ici. Ceci est une mise à jour rapide pour vous informer de la manière dont nous avons résolu les problèmes dans nos applications backend, qui sont en grande partie construites avec Java Enterprise.

  1. Nous avons mis à niveau les applications Spring Boot pour utiliser la dernière mise à jour de Log4J : org.apache.logging.log4j:log4j-bom:2.15.0
  2. Nous avons configuré les applications Spring Boot pour ignorer les requêtes JNDI : spring: jndi: ignore: true
  1. Chaque VM s'exécute maintenant avec l'option JVM - Dlog4j2.formatMsgNoLookups=true pour atténuer tout risque de divulgation d'informations potentielles.
  2. Nos services backend ne sont pas ouverts et fonctionnent derrière une configuration de pare-feu/équilibrage de charge. Nous avons examiné nos journaux et nos systèmes de sécurité pour vérifier les demandes JNDI/LDAP et nous n'en avons trouvé aucune, ce qui nous amène à penser que nos systèmes n'ont pas été scannés pour ces vulnérabilités.

Vous pouvez trouver plus d'informations sur la vulnérabilité Log4J décrite dans CVE-2021-44228 sur ces liens:

  • https://www.crowdstrike.com/blog/log4j2-vulnerability-analysis-and-mitigation-recommendations/
  • https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
  • https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/
  • https://github.com/YfryTchsGD/Log4jAttackSurface
Rodrigo Demetrio
Steering the marketing ship at Bureau Works with 17+ years of MarTech under my belt, I transform mere ideas into tangible realities. Passionate about languages and their power to build bridges, let's build a new one?

Essayez Bureau Works gratuitement pendant 14 jours

ChatGPT Intégrations
Commencer maintenant
Les 14 premiers jours sont gratuits
Assistance de base gratuite