On lundi 13 décembre 2021 13:18:50 CET, David Ponzone wrote:
Pour ceux qui l’auraient raté:
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Ce n'est pas complétement terminé, même si ca semble mois grave cette fois
:
https://www.openwall.com/lists/oss-security/2021/12/14/4
My two cents concernant le "énormément" : le NCSC (équiv. ANSSI aux
Pays-Bas) a mis en ligne un dépôt GitHub avec des indicateurs de
compromission, ainsi qu'une liste des produits impactés/non impactés :
https://github.com/NCSC-NL/log4shell/tree/main/software
Sur 1600 entrées, environ 200 sont
On Tue, Dec 14, 2021 at 10:18 AM Julien Escario
wrote:
> > C'est comme si tu disais que tu évite les serveurs Microsoft mais que
> > tu sois surpris de la faible surface d'attaque sur le RDP \o/
>
> OK, bonne ambiance ! Tu pourrais limiter ton commentaire à dire que
> l'avis des autres ne
Le Tue, Dec 14, 2021 at 10:33:00AM +0100, Wallace [wall...@morkitu.org] a écrit:
> Et même si les Elasticsearch, Greylog et autre joyeuseté y compris du dev de
> nos clients sont cachés derrière des firewalls on a fait ce qu'il faut pour
> les logiciels avec des mises à jour et configuration et
Dans les logiciels impactés que l'on a du mettre à jour rapidement, tous
les Jitsi, c'est du Java en public donc bien vulnérable.
Et même si les Elasticsearch, Greylog et autre joyeuseté y compris du
dev de nos clients sont cachés derrière des firewalls on a fait ce qu'il
faut pour les
Le 14/12/2021 à 09:53, David Durieux a écrit :
> Bonjour,
>
> Ton retour est complètement biaisé
>
> "j'ai été très surpris de la faible surface d'attaque "
> "on a très peu de trucs en Java, langage que je fuis depuis quelques années"
>
> c'est une attaque lié à JAVA, donc si tu évite d'en avoir
Bonjour,
Même approche (estimer la portée réelle de la menace avant de s'affoler) et même
constat : cette "faille" rejoint la liste des appels à la panique inutiles, du
moins pour ce qui me concerne.
Je relève une centaine "d'attaques" (avant blocage automatique), toutes depuis
le 10/12/21
Bonjour,
Ton retour est complètement biaisé
"j'ai été très surpris de la faible surface d'attaque "
"on a très peu de trucs en Java, langage que je fuis depuis quelques années"
c'est une attaque lié à JAVA, donc si tu évite d'en avoir tu risque pas
d'être très touché.
C'est comme si tu disais
Bonjour,
Tentons de reprendre le cours normal de ce thread : j'ai passé la
journée d'hier à tenter d'exploiter la faille sur des trucs 'legacy'
justement un peu partout et j'ai été très surpris de la faible surface
d'attaque que nous avons par rapport aux cris d’orfraies que j'ai pu
lire et ici
