Log4Dhell

Le
Jo Engo
Un exploit qui peut faire des dégÍ¢ts : Log4shell

Y a-t-il une parade, log4j sera-t-il mis Í  jour dans les dépÍ´ts *ux ?
Sur ma debian je peux voir que je ne l'ai pas (je parle de Log4J, donc a
priori aussi de log4shell, mais comment vérifier ?), et sur mon
téléphone ???

--
Comme toute science, la mathématique ne peut être construite sur la
seule logique.
-+- David Hilbert, Les fondements des mathématiques -+-
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Marc SCHAEFER
Le #26581558
Jo Engo
Un exploit qui peut faire des dégÍ¢ts : Log4shell

Si on a du Java installé. J'ai fait le tour de mes serveurs de
production, pas de runtime Java du tout.
Y a-t-il une parade, log4j sera-t-il mis Í  jour dans les dépÍ´ts *ux ?

Oui, Debian a déjÍ  fait plusieurs mises Í  jour (Í  voir ce n'est pas
facile).
priori aussi de log4shell, mais comment vérifier ?), et sur mon
téléphone ???

Ah, évidemment, un téléphone est un nid Í  Java.
D'autant plus que dans le monde Java on aime livrer l'ensemble des
dépendances sous forme d'un zip, donc il ne suffit pas de mettre Í  jour
la dépendance, encore faut-il ouvrir tous les zip, mettre Í  jour, etc.
Un peu le problème du Flatpak ou autres formats `auto-contenus' sous OS
standard.
Jo Engo
Le #26581564
Le Tue, 28 Dec 2021 09:19:54 -0000 (UTC), Marc SCHAEFER a écrit :
Y a-t-il une parade, log4j sera-t-il mis Í  jour dans les dépÍ´ts *ux ?

Oui, Debian a déjÍ  fait plusieurs mises Í  jour (Í  voir ce n'est pas
facile).


Vu que je n'ai pas d'application web (opértionnelle), j'ai viré tout ce
qui s'appellait log4j sans problème de dépendance : c'etait installé pour
faire joli, ou quoi ?
--
W W W
W W W Wow! What a Woman!
W W W (nine pairs of breasts!)
-- Breton, J.C.
Marc SCHAEFER
Le #26581563
Jo Engo
Vu que je n'ai pas d'application web (opértionnelle), j'ai viré tout ce
qui s'appellait log4j sans problème de dépendance : c'etait installé pour
faire joli, ou quoi ?

Il se peut aussi qu'une application Desktop Java l'utilise.
Le plus simple serait de désinstaller le runtime Java complet, de
manière Í  ce que la commande java ne marche plus.
Jo Engo
Le #26581590
Le 28 Dec 2021 15:16:35 GMT, Nicolas George a écrit :
Si l'application n'est pas exposée au réseau, il n'y a pas de risque.

J'aurais dÍ» creuser ça plus profondément. En fait il semblerait que si,
mais je n'ai pas lu comment.

--
L'homme n'est qu'un roseau, le plus faible de la nature ;
mais c'est un roseau pensant.
-+- Blaise Pascal (1623-1662), Pensées VI.347 -+-
Poster une réponse
Anonyme