Dépolluer son pc : les logiciels qui vont bien !

[izentrop]

Ce genre de faille pourrait arriver sur ce de forum par exemple. Faudra changer les mots de passe ?
Bizarre la version 2.15 recommandée, n'est pas proposée au téléchargement ? https://logging.apache.org/log4j/log4j- ... nload.html

[jean.caissepas]

Ce genre de faille pourrait arriver sur ce de forum par exemple. Faudra changer les mots de passe ?
Bizarre la version 2.15 recommandée, n'est pas proposée au téléchargement ? https://logging.apache.org/log4j/log4j- ... nload.html

Bossant dans l'informatique (Lead Dev), j'ai quelques infos :
- Il faut uniquement mettre à jour la librairie LOG4J des projet JAVA et les redéployer corrigés
- Certains VPN écrits en JAVA doivent êtres mis à jour !
- Autres programmes basés sur JAVA (Talend, Eclipse, Jasper Report, ...) et utilisant LOG4J (moins de risques si inaccessibles au public)

La faille permettrait à un utilisateur distant de faire de l’injection – et l’exécution – de code indésirable à distance et donc d'accéder à des fichiers du serveur, ou pire...
Si des fichiers textes, PHP, JAVA, Shell contiennent des users et password en clair, c'est sur qu'il faudra les changer après MàJ de TOUTES les failles !

Un lien qui en parle plus en détail :
https://www.itespresso.fr/log4shell-ce- ... 61204.html

Lien pour le correctif :
https://logging.apache.org/log4j/2.x/download.html
(à voir si un changement de version de JAVA est nécessaire sur le serveur)

[izentrop]

Ça crains... Econologie est vacciné de cette faille

La brèche informatique Log4Shell qui a forcé le gouvernement du Québec à fermer 4000 sites internet vulnérables la fin de semaine dernière est une vraie bombe à retardement. Elle met en danger les systèmes de presque toutes les entreprises et tous les gouvernements de la planète. Elle risque de paralyser des organisations durant des mois et d’amuser les pirates pendant des années. Notre Bureau d’enquête et notre Bureau parlementaire se sont entretenus avec plusieurs experts en sécurité informatique et des sources gouvernementales afin de mieux comprendre les risques de cette faille.
Qui est vulnérable ?

« Ça touche tout le monde », relate Patrick Mathieu, le cofondateur du Hackfest et spécialiste en sécurité informatique.

Tous les gouvernements, toutes les entreprises, les PME, les banques, les entreprises offrant des services web, etc.

Pratiquement tout le monde utilise cette composante, sans même le savoir parfois.

De Google au garage du coin, personne n’est à l’abri.

https://www.journaldequebec.com/2021/12 ... historique

[Obamot]

Ce genre de faille pourrait arriver sur ce de forum par exemple. Faudra changer les mots de passe ?
Bizarre la version 2.15 recommandée, n'est pas proposée au téléchargement ? https://logging.apache.org/log4j/log4j- ... nload.html

Bossant dans l'informatique (Lead Dev), j'ai quelques infos :
- Il faut uniquement mettre à jour la librairie LOG4J des projet JAVA et les redéployer corrigés
- Certains VPN écrits en JAVA doivent êtres mis à jour !
- Autres programmes basés sur JAVA (Talend, Eclipse, Jasper Report, ...) et utilisant LOG4J (moins de risques si inaccessibles au public)

La faille permettrait à un utilisateur distant de faire de l’injection – et l’exécution – de code indésirable à distance et donc d'accéder à des fichiers du serveur, ou pire...
Si des fichiers textes, PHP, JAVA, Shell contiennent des users et password en clair, c'est sur qu'il faudra les changer après MàJ de TOUTES les failles !

Un lien qui en parle plus en détail :
https://www.itespresso.fr/log4shell-ce- ... 61204.html

Lien pour le correctif :
https://logging.apache.org/log4j/2.x/download.html
(à voir si un changement de version de JAVA est nécessaire sur le serveur)

Parfait Merci !