Comme informé le 14 décembre par Eksaé, une alerte interministérielle a été lancée hier pour une faille de sécurité critique sur le composant technique Apache Log4j.
En effet, une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Cette bibliothèque est très souvent utilisée dans les projets de développement d’application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE (comme les solutions Y2 d’Eksaé).
Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification.
Eksaé a communiqué une procédure de contournement pour ses clients « on promise » et est intervenu pour ses clients en SaaS.
Néanmoins, déjà pour l’application Y2 GF EP, il a été mis disposition la version 15.01.01 qui vise à aller plus loin dans la sécurisation de ses logiciels et remplace la procédure de contournement proposé.
A noter que la procédure de contournement est suffisante si il n’est pas possible pour l’établissement d’installer de suite la veriosn 15.01.01