Re: [FRsAG] Faille Log4j2

2021-12-14 Par sujet Vincent Tondellier via FRsAG
On lundi 13 décembre 2021 13:18:50 CET, David Ponzone wrote: Pour ceux qui l’auraient raté: https://nvd.nist.gov/vuln/detail/CVE-2021-44228 Ce n'est pas complétement terminé, même si ca semble mois grave cette fois : https://www.openwall.com/lists/oss-security/2021/12/14/4

Re: [FRsAG] Faille Log4j2

2021-12-14 Par sujet F. S.
My two cents concernant le "énormément" : le NCSC (équiv. ANSSI aux Pays-Bas) a mis en ligne un dépôt GitHub avec des indicateurs de compromission, ainsi qu'une liste des produits impactés/non impactés : https://github.com/NCSC-NL/log4shell/tree/main/software Sur 1600 entrées, environ 200 sont

Re: [FRsAG] Faille Log4j2

2021-12-14 Par sujet Jeremy Monnet
On Tue, Dec 14, 2021 at 10:18 AM Julien Escario wrote: > > C'est comme si tu disais que tu évite les serveurs Microsoft mais que > > tu sois surpris de la faible surface d'attaque sur le RDP \o/ > > OK, bonne ambiance ! Tu pourrais limiter ton commentaire à dire que > l'avis des autres ne

Re: [FRsAG] Faille Log4j2

2021-12-14 Par sujet Dominique Rousseau
Le Tue, Dec 14, 2021 at 10:33:00AM +0100, Wallace [wall...@morkitu.org] a écrit: > Et même si les Elasticsearch, Greylog et autre joyeuseté y compris du dev de > nos clients sont cachés derrière des firewalls on a fait ce qu'il faut pour > les logiciels avec des mises à jour et configuration et

Re: [FRsAG] Faille Log4j2

2021-12-14 Par sujet Wallace
Dans les logiciels impactés que l'on a du mettre à jour rapidement, tous les Jitsi, c'est du Java en public donc bien vulnérable. Et même si les Elasticsearch, Greylog et autre joyeuseté y compris du dev de nos clients sont cachés derrière des firewalls on a fait ce qu'il faut pour les

Re: [FRsAG] Faille Log4j2

2021-12-14 Par sujet Julien Escario
Le 14/12/2021 à 09:53, David Durieux a écrit : > Bonjour, > > Ton retour est complètement biaisé > > "j'ai été très surpris de la faible surface d'attaque " > "on a très peu de trucs en Java, langage que je fuis depuis quelques années" > > c'est une attaque lié à JAVA, donc si tu évite d'en avoir

Re: [FRsAG] Faille Log4j2

2021-12-14 Par sujet Laurent Barme
Bonjour, Même approche (estimer la portée réelle de la menace avant de s'affoler) et même constat : cette "faille" rejoint la liste des appels à la panique inutiles, du moins pour ce qui me concerne. Je relève une centaine "d'attaques" (avant blocage automatique), toutes depuis le 10/12/21

Re: [FRsAG] Faille Log4j2

2021-12-14 Par sujet David Durieux
Bonjour, Ton retour est complètement biaisé "j'ai été très surpris de la faible surface d'attaque " "on a très peu de trucs en Java, langage que je fuis depuis quelques années" c'est une attaque lié à JAVA, donc si tu évite d'en avoir tu risque pas d'être très touché. C'est comme si tu disais

Re: [FRsAG] Faille Log4j2

2021-12-14 Par sujet Julien Escario
Bonjour, Tentons de reprendre le cours normal de ce thread : j'ai passé la journée d'hier à tenter d'exploiter la faille sur des trucs 'legacy' justement un peu partout et j'ai été très surpris de la faible surface d'attaque que nous avons par rapport aux cris d’orfraies que j'ai pu lire et ici

Re: [FRsAG] Faille Log4j2

2021-12-13 Par sujet Wallace
Le 13/12/2021 à 18:27, Maxime DERCHE a écrit : Le 13/12/2021 à 18:16, Maxime DERCHE a écrit : Ah je suis très agacé par l'intervention intempestive, déplacée et franchement désagréable à lire de Madame Locquet, qui est coutumière du fait depuis plus d'une décennie que je la croise ici ou là,

Re: [FRsAG] Faille Log4j2

2021-12-13 Par sujet Wallace
Le 13/12/2021 à 16:22, Maxime DERCHE a écrit : Bonjour, Le 13/12/2021 à 14:48, Véronique Loquet a écrit : Bonjour -- Dans la même veine, il n'y a pas que ceux qui paniquent. C'est noël, pensez à tous ces gamins qui exploitent et s'éclatent comme des fous ! OK ==>[] (: Véro Il y a aussi les

Re: [FRsAG] Faille Log4j2

2021-12-13 Par sujet Maxime DERCHE
Le 13/12/2021 à 18:16, Maxime DERCHE a écrit : Bonjour Gabriel, Le 13/12/2021 à 16:35, Gabriel Corré a écrit : Hello, Effectivement, noël est proche, alors si on peut tenter de rester bienveillant, ça serait top =) Ah je suis très agacé par l'intervention intempestive, déplacée et

Re: [FRsAG] Faille Log4j2

2021-12-13 Par sujet Maxime DERCHE
Bonjour Gabriel, Le 13/12/2021 à 16:35, Gabriel Corré a écrit : Hello, Effectivement, noël est proche, alors si on peut tenter de rester bienveillant, ça serait top =) Ah je suis très agacé par l'intervention intempestive, déplacée et franchement désagréable à lire de Madame Locquet, qui

Re: [FRsAG] Faille Log4j2

2021-12-13 Par sujet Gabriel Corré
Hello, Effectivement, noël est proche, alors si on peut tenter de rester bienveillant, ça serait top =) Gabriel Cordialement, On 2021-12-13 16:22, Maxime DERCHE wrote: Bonjour, Le 13/12/2021 à 14:48, Véronique Loquet a écrit : Bonjour -- Dans la même veine, il n'y a pas que ceux qui

Re: [FRsAG] Faille Log4j2

2021-12-13 Par sujet Maxime DERCHE
Bonjour, Le 13/12/2021 à 14:48, Véronique Loquet a écrit : Bonjour -- Dans la même veine, il n'y a pas que ceux qui paniquent. C'est noël, pensez à tous ces gamins qui exploitent et s'éclatent comme des fous ! OK ==>[] (: Véro Il y a aussi les cuistres qui n'y connaissent rien et se

Re: [FRsAG] Faille Log4j2

2021-12-13 Par sujet Melanie Jacquart
Pour qui utilise Log4j, plein de monde : https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/#affected-products Si la question est sur le serveur HTTP Apache, ça n'a aucun rapport, ça n'est pas affecté par la faille. Le lun. 13 déc. 2021 à 14:56, Vincent Habchi a écrit : >

Re: [FRsAG] Faille Log4j2

2021-12-13 Par sujet David Durieux
Ce n'est pas que Apache, ça concerne beaucoup de solutions JAVA. Certains crient leur joie d'utiliser log4j 1.x qui est épargné (sauf si JNDI est activé, mais c'est relativement rare), mais la version 1.x n'est plus supporté, donc c'est une folie de l'utiliser... David On Mon, 13 Dec 2021

Re: [FRsAG] Faille Log4j2

2021-12-13 Par sujet Seb Astien
Qui n'a plus de legacy de nos jours ? Le lun. 13 déc. 2021 à 14:54, Vincent Habchi a écrit : > > On 13 Dec 2021, at 13:18, David Ponzone wrote: > > > > Pour ceux qui l’auraient raté: > > Qui utilise encore Apache de nos jours ? > > V. > > ___ > Liste

Re: [FRsAG] Faille Log4j2

2021-12-13 Par sujet David Ponzone
A peu près autant de monde que Nginx (un coin moins, certes). > Le 13 déc. 2021 à 14:53, Vincent Habchi a écrit : > >> On 13 Dec 2021, at 13:18, David Ponzone wrote: >> >> Pour ceux qui l’auraient raté: > > Qui utilise encore Apache de nos jours ? > > V. > >

Re: [FRsAG] Faille Log4j2

2021-12-13 Par sujet Vincent Habchi
> On 13 Dec 2021, at 13:18, David Ponzone wrote: > > Pour ceux qui l’auraient raté: Qui utilise encore Apache de nos jours ? V. ___ Liste de diffusion du FRsAG http://www.frsag.org/

Re: [FRsAG] Faille Log4j2

2021-12-13 Par sujet Véronique Loquet
Bonjour -- Dans la même veine, il n'y a pas que ceux qui paniquent. C'est noël, pensez à tous ces gamins qui exploitent et s'éclatent comme des fous ! OK ==>[] (: Véro Le 13/12/2021 à 13:24, David Durieux a écrit : > Bonjour, > > il faut être dans une grotte pour l'avoir raté :D > > Ceci est un

Re: [FRsAG] Faille Log4j2

2021-12-13 Par sujet Vincent Finance via FRsAG
Bonjour, Pour info et si ça peut aider, un topic dédié a été fait sur le forum CHATONS pour savoir quelles applis sont impactés dans le collectif (et pas que) et pour donner quelques pistes pour mitiger l'attaque : https://forum.chatons.org/t/log4j-java-et-cve-2021-44228-log4shell/3069 Ça peut

Re: [FRsAG] Faille Log4j2

2021-12-13 Par sujet David Durieux
Bonjour, il faut être dans une grotte pour l'avoir raté :D Ceci est un message pour faire décompresser ceux qui ont dû oeuvrer ce week end et ce matin \o/ Bon courage. David On Mon, 13 Dec 2021 13:18:50 +0100 David Ponzone wrote: > Pour ceux qui l’auraient raté: > >

[FRsAG] Faille Log4j2

2021-12-13 Par sujet David Ponzone
Pour ceux qui l’auraient raté: https://nvd.nist.gov/vuln/detail/CVE-2021-44228 ___ Liste de diffusion du FRsAG http://www.frsag.org/