Communiqué : Vulnérabilité critique sur Apache Log4j/Log4Shell (CVE-2021-44228)

Il s’agit d’une vulnérabilité extrêmement critique car elle dispose d’une note de sévérité de 10/10, permettant l’exécution de code à distance si elle est exploitée.

Nous vous partageons les recommandations de l’ANSSI : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/.

Il est fortement recommandé aux utilisateurs d'applications ou de logiciels sur étagère basés sur la technologie Java/J2EE :

• de filtrer les flux sortants des serveurs pour les limiter aux seuls flux autorisés vers des services de confiance ;
• de prendre contact avec le développeur ou l'éditeur pour vérifier s'ils sont exposés à cette vulnérabilité et si un correctif est disponible.

Il est fortement recommandé aux développeurs/éditeurs de mettre à jour log4j à la version 2.15.0 et de fournir une nouvelle version de leur logiciel dans les plus brefs délais.

Afin d’identifier votre exposition à ce risque et le traiter, il vous est nécessaire de :

1. identifier vos systèmes, serveurs ou applications disposant d’Apache et Java, et vérifier leurs versions respectives
2. Mettre à jour en passant les correctifs sur vos serveurs gérés par vos soins
3. Solliciter vos prestataires (développeurs ou éditeurs) applicatifs utilisant Apache s’ils ne vous ont pas déjà communiquer une mise à jour ou une prochaine publication.

Nous effectuons des analyses de vulnérabilités régulières sur votre environnement mais nous vous recommandons également d’avoir un processus proactif de cybersécurité sur votre SI.