Project

General

Profile

Actions

Demande #5707

closed

Le SI du Chapril est-il vulnérable à la faille Log4shell ? Si oui, il faut mettre en place les mesures correctives

Added by Frédéric Couchet over 2 years ago. Updated over 1 year ago.

Status:
Fermé
Priority:
Immédiate
Assignee:
Target version:
Start date:
12/13/2021
Due date:
% Done:

100%

Estimated time:

Description

Sur https://logging.apache.org/log4j/2.x/index.html "The Log4j team has been made aware of a security vulnerability, CVE-2021-44228, that has been addressed in Log4j 2.15.0."

La faille est appelée Log4Shell.

Le SI du Chapril est-il vulnérable à la faille Log4shell ? Si oui, il faut mettre en place les mesures correctives.

Le ticket côté April https://agir.april.org/issues/5706


Related issues 1 (0 open1 closed)

Related to visio.chapril.org - Demande #5705: Vérifier la correction de log4shellFermé12/11/2021

Actions
Actions #3

Updated by Frédéric Couchet over 2 years ago

  • Description updated (diff)
Actions #5

Updated by Frédéric Couchet over 2 years ago

  • Related to Demande #5705: Vérifier la correction de log4shell added
Actions #6

Updated by Pierre-Louis Bonicoli over 2 years ago

  • Pour la machine grof, les paquets liblog4j1.2-java et liblog4j2-java ne sont pas installés. Les paquets openjdk-11-jre-headless et ca-certificates-java sont présents. Étant donné qu'à ma connaissance ils ne sont pas utilisés et parce que liblog4j pourrait être bundlé , je propose de les supprimer.
Actions #7

Updated by Pierre-Louis Bonicoli over 2 years ago

Une discussion au sujet de la faille sur le forum chatons.

Actions #8

Updated by Quentin Gibeaux over 2 years ago

je lance le même find qu'à l'april sur l'infra

Actions #9

Updated by Frédéric Couchet over 2 years ago

Le bulletin d'alerte du CERT-FR (régulièrement mis à jour) https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

Actions #10

Updated by Frédéric Couchet over 2 years ago

Pierre-Louis Bonicoli a écrit :

  • Pour la machine grof, les paquets liblog4j1.2-java et liblog4j2-java ne sont pas installés. Les paquets openjdk-11-jre-headless et ca-certificates-java sont présents. Étant donné qu'à ma connaissance ils ne sont pas utilisés et parce que liblog4j pourrait être bundlé , je propose de les supprimer.

C'est toi qui connaît le mieux la VM. Si tu penses qu'il faut supprimer les paquets fais-le stp.

Actions #11

Updated by Quentin Gibeaux over 2 years ago

===== bastion =====
Connection to bastion.cluster.chapril.org closed.
===== admin =====
Connection to admin.cluster.chapril.org closed.
===== dns =====
Connection to dns.cluster.chapril.org closed.
===== mail =====
Connection to mail.cluster.chapril.org closed.
===== pouet =====
Connection to pouet.cluster.chapril.org closed.
===== sympa =====
Connection to sympa.cluster.chapril.org closed.
===== lamp =====
/srv/chaprilinfos/log4j.properties
Connection to lamp.cluster.chapril.org closed.
===== pad =====
/var/www/etherpad-lite-1.8.6/src/node_modules/log4js/test/log4js.json
/var/www/etherpad-lite-1.8.6/src/node_modules/log4js/lib/log4js.js
/var/www/etherpad-lite-1.8.6/src/node_modules/log4js/lib/log4js.json
/var/www/etherpad-lite-1.8.4/src/node_modules/log4js/test/log4js.json
/var/www/etherpad-lite-1.8.4/src/node_modules/log4js/lib/log4js.js
/var/www/etherpad-lite-1.8.4/src/node_modules/log4js/lib/log4js.json
/var/www/etherpad-lite-1.8.7/src/node_modules/log4js/test/log4js.json
/var/www/etherpad-lite-1.8.7/src/node_modules/log4js/lib/log4js.js
/var/www/etherpad-lite-1.8.7/src/node_modules/log4js/lib/log4js.json
/var/www/etherpad-1.8.4-test/src/node_modules/log4js/test/log4js.json
/var/www/etherpad-1.8.4-test/src/node_modules/log4js/lib/log4js.js
/var/www/etherpad-1.8.4-test/src/node_modules/log4js/lib/log4js.json
Connection to pad.cluster.chapril.org closed.
===== libreoffice =====
channel 0: open failed: connect failed: No route to host
stdio forwarding failed
ssh_exchange_identification: Connection closed by remote host
===== valise =====
find: ‘/proc/169840/task/169840/net’: Argument invalide
find: ‘/proc/169840/net’: Argument invalide
find: ‘/proc/170310/task/170310/net’: Argument invalide
find: ‘/proc/170310/net’: Argument invalide
find: ‘/proc/172206/task/172206/net’: Argument invalide
find: ‘/proc/172206/net’: Argument invalide

Connection to valise.cluster.chapril.org closed.
===== xmpp =====
Connection to xmpp.cluster.chapril.org closed.
===== drop =====
Connection to drop.cluster.chapril.org closed.
===== allo =====
/usr/share/jitsi-videobridge/lib/log4j-api-2.15.0.jar
/usr/share/jitsi-videobridge/lib/log4j-core-2.15.0.jar
/etc/jitsi/videobridge/log4j2.xml
Connection to allo.cluster.chapril.org closed.
===== ludo =====
Connection to ludo.cluster.chapril.org closed.
===== biliz =====
Connection to biliz.cluster.chapril.org closed.
===== catom =====
channel 0: open failed: connect failed: No route to host
stdio forwarding failed
ssh_exchange_identification: Connection closed by remote host
===== grof =====
Connection to grof.cluster.chapril.org closed.
===== maine.chapril.org =====
Connection to maine.chapril.org closed.
===== coon.chapril.org =====
Connection to coon.chapril.org closed.
===== felicette.orbite.chapril.org =====
Connection to felicette.orbite.chapril.org closed.

Il y a donc des choses à voir sur lamp, allo

Actions #12

Updated by Romain H. over 2 years ago

Pour lamp j'ai désactivé la tâche cron qui lance ce code il y a quelques jours par mesure de précaution.
Il faudrait voir comment mettre à jour la bibliothèque avant de la réactiver.

Actions #13

Updated by François Poulain over 2 years ago

Faudrait épouiller les jar qui tournent s'il y en a.

Actions #14

Updated by Frédéric Couchet over 2 years ago

  • Assignee set to Romain H.
Actions #15

Updated by Pierre-Louis Bonicoli over 2 years ago

  • Target version changed from Sprint 2021 décembre to Sprint 2022 avril
Actions #16

Updated by Pierre-Louis Bonicoli about 2 years ago

  • Target version changed from Sprint 2022 avril to Backlog
Actions #17

Updated by Pierre-Louis Bonicoli over 1 year ago

  • Status changed from Nouveau to Résolu
  • Target version changed from Backlog to Sprint 2022 décembre
  • % Done changed from 0 to 100

statoolinfos ne tourne plus (#5985).

Actions #18

Updated by Quentin Gibeaux over 1 year ago

  • Status changed from Résolu to Fermé
Actions

Also available in: Atom PDF