Résumé de la vulnérabilité Log4j
Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Cette bibliothèque est très souvent utilisée dans les projets de développement d’application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE.
La vulnérabilité affectant la bibliothèque Java Apache Log4j a été annoncé le 9 décembre mais semble avoir fait l’objet de tentatives d’exploitation dès le 1er décembre 2021. Se référer à l’alerte CERTFR-2021-ALE-022 pour plus d’information.
Code CVE : CVE-2021-44228
Fil d’actualité ANSSI : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
Impacts auprès de nos partenaires
Ci-dessous, retrouvez les informations compilées de la part de nos principaux éditeurs partenaires. Nous mettons les liens vers les communications officielles. Notre équipe technique reste à votre disposition en cas de nécessité.
Centreon – non impacté
Suite aux échanges entre nos équipes techniques et l’équipe support de Centreon, nous avons regroupé toutes les informations sur cette page dédiée. A noter qu’une mis à jour pour Centreon MAP est désormais disponible (version 2.16.0).
SolarWinds – impact pour DPA + SAM
L’éditeur a rapidement communiqué que la quasi totalité de ses produits ne souffraient d’aucun impact. Néanmoins, les produits DPA et SAM peuvent être impactées selon les versions. L’éditeur travaille actuellement sur un hotfix et dispose d’un workaround. Toutes les informations
Martello (ex-SAVISION) // aussi appelé ITOPs Board par Paessler – semble être impacté
Dans le rapport officiel de Paessler liés à ses produits, l’éditeur allemand met en avant un possible impact de l’outil complémentaire ITOPs Board. Il s’agit de la solution Martello Vantage DX Monitoring (ex- iQ // ex- Savision). Le détail est à retrouver ici.
Lansweeper – non concerné // propose un outil d’analyse
Le logiciel d’inventaire n’utilise pas les composants vulnérables mais l’éditeur a mis à disposition un outil d’analyse et de rapport à retrouver ici.
Progress : WhatsUp Gold + MOVEit – non concerné
L’éditeur a communiqué officiellement pour ces deux solutions dans la base de connaissance dédiée : les informations pour WhatsUp Gold et les informations pour MOVEit.
De même, le plugin WhatsUp Companion développé par Orsenna n’est pas concerné.
Broadcom – non concerné
L’éditeur propose un fil d’actualité (en lien aussi avec Symantec) qui retrace les dernières informations liées à la vulnérabilité Log4j : https://www.broadcom.com/log4j
Nagios – non concerné
L’éditeur n’a pas mis en avant d’impact particulier sur ses solutions, notamment concernant Nagios XI.
Paessler PRTG – non concerné
Les équipes techniques de Paessler ont rapidement réalisé une analyse des produits et a déclaré aucun impact.
ServiceNav – non concerné
Suite à un échange entre nos équipes respectives, l’éditeur nous a affirmé que les produits ServiceNav ne sont pas concernés.
Plixer – non concerné
Les solutions Plixer Scrutinizer // Plixer FlowPro // Plixer Replicator // Plixer Beacon ne sont pas impactées. Néanmoins, l’éditeur indique que les versions v18 de Scrutinizer, FlowPro et Replicator permettent l’installation de paquets OS tiers qui ne sont pas vérifiés par Plixer. Ainsi, si vous avez installé des logiciels supplémentaires sur ces serveurs, vous devrez vérifier que ces paquets tiers ne contiennent pas la faille trouvée dans Log4j.
Zabbix – non concerné
L’éditeur Open Source a indiqué ne pas être touché par la vulnérabilité Log4j.
netTerrain – non concerné
« The Log4j2 is a java logging service that can be installed and used with the Java platform. The Graphical Networks netTerrain application does not use this logging service. »
SMSeagle – non concerné
Communication officielle via Twitter : « Due to the recent log4j/log4shell vulnerability we would like to announce that SMSEagle is not susceptible and is safe from being exploited in this way. »