Comment Notarius gère-t-il la vulnérabilité liée à Log4j?
Le 10 décembre 2021, des détails ont émergé au sujet d'une vulnérabilité critique d'exécution de code à distance dans Apache Log4j version 2.14.1, assignée comme CVE-2021-44228. Notarius a évalué cette vulnérabilité et déterminé qu'elle ne peut être exploitée sur ses produits et solutions (CertifiO, CertifiO Manager, EESP, ConsignO Desktop, ConsignO Cloud, ConsignO Server, VerifiO, Hosted HSM, Hosted CEV et les divers API liés à nos produits).
Par mesure de précaution, en plus d'avoir mis à jour de nos pare-feu d'applications Web (WAF) dès le 10 décembre, tous nos produits et solutions sont maintenant à la version nous avons également pris les mesures suivantes :
- 10 décembre : Mise à jour de nos pare-feu d'applications Web (WAF) pour filtrer toute requête suspecte qui pourrait être exploitée par la vulnérabilité Log4j.
- 10 décembre : Confirmé qu'aucun de nos services de logging depuis le 3 décembre a reçu des données suspectes.
- 13 décembre : Mise à jour de ConsignO Cloud avec la dernière version de Log4j 2.15.0
- 14 décembre au 25 janvier : Mise à jour de nos différents produits en lien aux nombreuses mises à jour de sécurité de Log4j.
- 19 juillet 2022: Des faux positifs pourraient être rapportés par certains outils de détection qui se basent sur le simple nom « log4j » sans valider le numéro de version de la librairie contenue dans nos produits. Les versions de produit disponibles sur notre page de téléchargement contiennent les librairies récentes adressant les vulnérabilités.
Nos systèmes utilisent actuellement des versions récentes de Log4j. Bien qu'aucune des vulnérabilités identifiées ne puisse être exploitée sur nos produits, nous suivons de près ce problème et nous publierons des mises à jour du produit si nécessaire.