TRANSITION NUMÉRIQUE - INNOVATION - COMPÉTITIVITÉ

Log4J : nouveau patch disponible

L’état des connaissances concernant la vulnérabilité Log4j a évolué.
En effet, la version log4j 2.16.0 était décrite comme une mise à jour impérative. Cependant, cette version 2.16.0 souffre d’une autre vulnérabilité, la CVE-2021-45105, au score CVSS de 7,5. Plus d’informations ici.

Depuis le 17 décembre 2021, une nouvelle version (2.17.0) est proposée par Apache Software Foundation. La mise à jour des bibliothèques Log4j doit donc être réalisée avec cette nouvelle version.

 

Déploiement des correctifs de sécurité

Pour rappel, notre communication du 17 décembre dernier précisait les points suivants :

  • Concernant les serveurs vulnérables et les plus exposés qui sont infogérés par Adista, nos équipes sont à pied d’œuvre pour appliquer les correctifs de sécurité.
  • Concernant les serveurs dont nous n’avons pas la gestion, nous traitons les cas au fur et à mesure avec les clients impactés, conformément à notre devoir d’information.

Concernant la sécurité des SI

Cette situation de patchs eux-mêmes vulnérables permet d’insister sur un point important : la sécurité d’un Système d’Information ne doit pas reposer sur la sécurité d’un unique composant, ici Log4j.

Les principes généraux de défense en profondeur, de minimisation de la surface exposée, de cloisonnement, et surveillance du SI, doivent être systématiquement appliqués.

Cette préparation s’effectue « en temps de paix », pour se donner le temps de la réaction lorsqu’une telle vulnérabilité se présente. Nos experts cybersécurité sont à votre disposition sur ce sujet.

Nous communiquerons très régulièrement sur l’avancée des connaissances concernant ces corrections à entreprendre.

Ne manquez pas de faire circuler ces notes d’information parmi votre écosystème.