Bonjour,
La version log4j utilisée par OBM 3.2.1 est: 1.x.
D'après le lien
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/, les versions
log4j 1.x sont exposées en cas d'utilisation de JMSAppender.
OBM 3.2.1 n'utilise pas la technologie JMSAppender, il n'est donc pas
exposé.
Cordialement
On 13/12/2021 12:34, Frédéric MASSOT wrote:
Bonjour,
Il y a une faille de sécurité dans Log4j avec une possibilité
d'exploitation à distance.
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
OBM utilise Log4j, mais je ne sais pas si on peut lui passer des
données venant de la page de connexion.
Est-ce que OBM 3.2.1 est vulnérable à cette faille de Log4j ?
Cordialement.
--
Simon Elbaz
@Linagora
Mob: +33 (0) 6 38 99 18 34 / +33 (0) 6 14 99 02 78
Tour Franklin 31ème étage
100/101 Quartier Boieldieu
92042 La Défense
FRANCE
_______________________________________________
Obm mailing list
[email protected]
http://list.obm.org/listinfo/obm
