Log4Dhell
Le
Jo Engo
Un exploit qui peut faire des dégÍ¢ts : Log4shell
Y a-t-il une parade, log4j sera-t-il mis Í jour dans les dépÍ´ts *ux ?
Sur ma debian je peux voir que je ne l'ai pas (je parle de Log4J, donc a
priori aussi de log4shell, mais comment vérifier ?), et sur mon
téléphone ???
--
Comme toute science, la mathématique ne peut être construite sur la
seule logique.
-+- David Hilbert, Les fondements des mathématiques -+-
Y a-t-il une parade, log4j sera-t-il mis Í jour dans les dépÍ´ts *ux ?
Sur ma debian je peux voir que je ne l'ai pas (je parle de Log4J, donc a
priori aussi de log4shell, mais comment vérifier ?), et sur mon
téléphone ???
--
Comme toute science, la mathématique ne peut être construite sur la
seule logique.
-+- David Hilbert, Les fondements des mathématiques -+-
Si on a du Java installé. J'ai fait le tour de mes serveurs de
production, pas de runtime Java du tout.
Oui, Debian a déjÍ fait plusieurs mises Í jour (Í voir ce n'est pas
facile).
Ah, évidemment, un téléphone est un nid Í Java.
D'autant plus que dans le monde Java on aime livrer l'ensemble des
dépendances sous forme d'un zip, donc il ne suffit pas de mettre Í jour
la dépendance, encore faut-il ouvrir tous les zip, mettre Í jour, etc.
Un peu le problème du Flatpak ou autres formats `auto-contenus' sous OS
standard.
Vu que je n'ai pas d'application web (opértionnelle), j'ai viré tout ce
qui s'appellait log4j sans problème de dépendance : c'etait installé pour
faire joli, ou quoi ?
--
W W W
W W W Wow! What a Woman!
W W W (nine pairs of breasts!)
-- Breton, J.C.
Il se peut aussi qu'une application Desktop Java l'utilise.
Le plus simple serait de désinstaller le runtime Java complet, de
manière Í ce que la commande java ne marche plus.
J'aurais dÍ» creuser ça plus profondément. En fait il semblerait que si,
mais je n'ai pas lu comment.
--
L'homme n'est qu'un roseau, le plus faible de la nature ;
mais c'est un roseau pensant.
-+- Blaise Pascal (1623-1662), Pensées VI.347 -+-