tag:linuxfr.org,2005:/tags/log4j/publicLinuxFr.org : les contenus étiquetés avec « log4j »2022-10-24T09:11:21+02:00/favicon.pngtag:linuxfr.org,2005:Bookmark/52972022-10-23T07:18:13+02:002022-10-23T07:18:13+02:00cve-2022-42889 : text4shell fait suite à log4shell<a href="https://cyberwatch.fr/cve/cve-2022-42889-text4shell-comment-detecter-et-corriger-cette-vulnerabilite-sur-apache-commons-text/">https://cyberwatch.fr/cve/cve-2022-42889-text4shell-comment-detecter-et-corriger-cette-vulnerabilite-sur-apache-commons-text/</a> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/129089/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/quinton/liens/cve-2022-42889-text4shell-fait-suite-a-log4shell#comments">ouvrir dans le navigateur</a>
</p>
Marc Quintonhttps://linuxfr.org/nodes/129089/comments.atomtag:linuxfr.org,2005:Bookmark/41882022-01-25T12:23:58+01:002022-01-25T12:23:58+01:00Log4j : une entreprise du Fortune 500 exige des réponses rapides et gratuites du créateur de cURL<a href="https://open-source.developpez.com/actu/330407/Log4j-une-entreprise-du-Fortune-500-exige-des-reponse">https://open-source.developpez.com/actu/330407/Log4j-une-entreprise-du-Fortune-500-exige-des-reponse</a> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/126693/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/colargol/liens/log4j-une-entreprise-du-fortune-500-exige-des-reponses-rapides-et-gratuites-du-createur-de-curl#comments">ouvrir dans le navigateur</a>
</p>
Colargolhttps://linuxfr.org/nodes/126693/comments.atomtag:linuxfr.org,2005:Bookmark/40742022-01-05T12:17:12+01:002022-01-05T12:17:12+01:00Le Courrier du hacker (n°188) - faille log4j<a href="https://lecourrierduhacker.com/numeros/numero-188">https://lecourrierduhacker.com/numeros/numero-188</a> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/126465/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/chaica/liens/le-courrier-du-hacker-n-188-faille-log4j#comments">ouvrir dans le navigateur</a>
</p>
Carl Chenethttps://linuxfr.org/nodes/126465/comments.atomtag:linuxfr.org,2005:Bookmark/40472021-12-30T19:39:04+01:002021-12-30T19:39:04+01:00Logiciel Libre, communisme, autoritarisme, Open Source et les startups<a href="https://apenwarr.ca/log/20211229">https://apenwarr.ca/log/20211229</a> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/126401/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/krunch/liens/logiciel-libre-communisme-autoritarisme-open-source-et-les-startups#comments">ouvrir dans le navigateur</a>
</p>
Krunchhttps://linuxfr.org/nodes/126401/comments.atomtag:linuxfr.org,2005:Diary/400502021-12-24T10:47:07+01:002021-12-24T10:47:07+01:00log4shell : Et après ?Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Alors que pour beaucoup, nous bossons sur la correction de la CVE concernant log4j en mode pompiers, je me suis demandé quelles seront les conséquences à moyen terme de cette faille. </p>
<p>1- Rappelons la CVE: log4j <2.16 a un énorme trou de sécurité, facile à mitiger<br>
2- log4j est utilisé dans presque tous les projets java<br>
3- log4j est maintenu par 4 honorable personnes contributrices<br>
4- Cela est arrivé lors de la période de fin d'année où les personnes sont en vacances ou sont fatiguées </p>
<p>La difficulté est ici le périmètre d'action de log4j : Ce module maven est présent quasiment partout, chez presque tous les logiciels java, il sera quasiment impossible de tout scanner.Après l'armée Belge , il est envisageable de penser que d'autres entités se feront pirater. </p>
<p><strong>L'open source en question ?</strong><br>
Délivré sous license apache, log4j est opensource, et donc il est simple pour un projet java de l'utiliser. Hors , en cas de failles, on ne peux compter que sur le courage de quelques contributeurs, mettant ainsi ,pour certains, un gros plan sur un problème : quid du support et des correctifs dans les projets open source: les contributeurs aurait très bien pu s'epargner des nuits sans sommeil et laisser tel quel , la mitigation étant donné. <br>
Je vois plutôt ce problème comme une faille chez les éditeurs, je me demande encore pourquoi peu d'éditeurs ont fournit de la main d'œuvre pour corriger la faille. Concernant les logiciels très utilisé sous linux, je pense à eclipse, dbeaver et mindustry </p>
<p><a href="https://hitechglitz.com/france/ce-que-log4shell-nous-apprend-sur-la-securite-open-source/">https://hitechglitz.com/france/ce-que-log4shell-nous-apprend-sur-la-securite-open-source/</a></p>
<p><strong>Maven en question ?</strong><br>
Maven est un moyen de construire les projets java. En simplifiant, il prends un fichier pom, un fiichier de setting, un fichier source et construit le projet, en téléchargent les modules présent dans le fichier pom depuis maven-central (entre autre) et en les mettant dans un repertoire m2 . <br>
Ce fichier pom peux donc faire appel à toutes les libraires maven , y compris log4j troué. <br>
Nexus a recemment trouvé que 40% des projets maven utilisent eencore un log4j troué, sans doute des projets abandonné , comme l'ont pu l'être ssh-ganymede par le passé. <br>
Faut il que maven-central fasse le ménage dans ses projets au risque de se voir remplacé ? Et encore, je ne suis pas sûr qu'en utilisant pip en remplacement, cela donne un résultat différent <br>
<a href="https://www.globenewswire.com/news-release/2021/12/22/2357089/0/en/Critical-Log4j-Vulnerability-Still-Being-Downloaded-40-of-the-Time-Sonatype-Research-Reveals-in-New-Resource-Center.html">https://www.globenewswire.com/news-release/2021/12/22/2357089/0/en/Critical-Log4j-Vulnerability-Still-Being-Downloaded-40-of-the-Time-Sonatype-Research-Reveals-in-New-Resource-Center.html</a></p>
<p>**<br>
l'omniprésence de java en question ?**<br>
Le problème de log4shell est son prérimètre, toutes les applis java peuvent avoir un log4j dans ses classes. Nombreuses entités ont tout misé sur java , et même la politique d'oracle ne les ont pas arrêtés, car ils ont migré vers de l'openjdk (openjdk distro, zulu adopt etc…) </p>
<p>à moyen terme, verrons nous plus d'entreprises contribué à l'open source, ou cesser l'utilisation de l'open source ?<br>
Verrons nous une moindre utilisation de java ? la fin des libraires partagées ? </p>
<div><a href="https://linuxfr.org/users/cheumole/journaux/log4shell-et-apres.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/126361/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/cheumole/journaux/log4shell-et-apres#comments">ouvrir dans le navigateur</a>
</p>
Eh_Dis_Mwanhttps://linuxfr.org/nodes/126361/comments.atomtag:linuxfr.org,2005:Post/425792021-12-20T23:22:35+01:002021-12-21T17:32:18+01:00mettre à jour Log4j sur Debian Buster<p>Bonjour,</p>
<p>Juste un post qui aurait pu m'aider à ne pas perdre des heures sur mon serveur Debian pour mettre à jour Apache.</p>
<p>Debian a confirmé la mise a jour de Log4j sur les dépots sécurity de Debian Buster mais lorsque je faisais un apt update && upgrade je n'avais rien, si toi aussi tu es dans la même situation que moi voici la manip que j'ai effectué:</p>
<p>Depuis le terminal, taper "sudo su" puis indiquer votre mot de passe root/administrateur.</p>
<p>Ensuite taper "apt update && apt upgrade" pour mettre à jour la distribution.</p>
<p>Puis terminer par cette commande :</p>
<p>"apt install --only-upgrade liblog4j-java"</p>
<p>La derniere maj vous sera présentée et installée.</p>
<p>Si vous ne trouvez pas la dernière version, ajouter le backports pour votre distribution (procedure dispo chez debian.org).</p>
<p>Espérant en aider quelques uns.</p>
<div><a href="https://linuxfr.org/forums/linux-debian-ubuntu/posts/mettre-a-jour-log4j-sur-debian-buster.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/126340/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/linux-debian-ubuntu/posts/mettre-a-jour-log4j-sur-debian-buster#comments">ouvrir dans le navigateur</a>
</p>
fenrirhttps://linuxfr.org/nodes/126340/comments.atomtag:linuxfr.org,2005:Bookmark/40042021-12-16T23:53:50+01:002021-12-16T23:53:50+01:00Vous aviez mis à jour log4j pour corriger log4shell ? Eh bien, il faut recommencer.<a href="https://arstechnica.com/information-technology/2021/12/patch-fixing-critical-log4j-0-day-has-its-own-vulnerability-thats-under-exploit/">https://arstechnica.com/information-technology/2021/12/patch-fixing-critical-log4j-0-day-has-its-own-vulnerability-thats-under-exploit/</a> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/126289/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/spacefox/liens/vous-aviez-mis-a-jour-log4j-pour-corriger-log4shell-eh-bien-il-faut-recommencer#comments">ouvrir dans le navigateur</a>
</p>
SpaceFoxhttps://linuxfr.org/nodes/126289/comments.atomtag:linuxfr.org,2005:Bookmark/39902021-12-12T11:40:39+01:002021-12-12T11:40:39+01:00Logout4Shell : Corriger la faille log4j en se servant de la faille log4j<a href="https://github.com/Cybereason/Logout4Shell">https://github.com/Cybereason/Logout4Shell</a> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/126248/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/spacefox/liens/logout4shell-corriger-la-faille-log4j-en-se-servant-de-la-faille-log4j#comments">ouvrir dans le navigateur</a>
</p>
SpaceFoxhttps://linuxfr.org/nodes/126248/comments.atomtag:linuxfr.org,2005:Bookmark/39842021-12-10T18:18:23+01:002021-12-10T18:18:23+01:00Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package<a href="https://www.lunasec.io/docs/blog/log4j-zero-day/">https://www.lunasec.io/docs/blog/log4j-zero-day/</a> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/126240/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/misc/liens/log4shell-rce-0-day-exploit-found-in-log4j-a-popular-java-logging-package#comments">ouvrir dans le navigateur</a>
</p>
Mischttps://linuxfr.org/nodes/126240/comments.atom