Project

General

Profile

Demande #5707

Le SI du Chapril est-il vulnérable à la faille Log4shell ? Si oui, il faut mettre en place les mesures correctives

Added by Frédéric Couchet 12 months ago. Updated 1 day ago.

Status:
Résolu
Priority:
Immédiate
Assignee:
Target version:
Start date:
12/13/2021
Due date:
% Done:

100%

Estimated time:

Description

Sur https://logging.apache.org/log4j/2.x/index.html "The Log4j team has been made aware of a security vulnerability, CVE-2021-44228, that has been addressed in Log4j 2.15.0."

La faille est appelée Log4Shell.

Le SI du Chapril est-il vulnérable à la faille Log4shell ? Si oui, il faut mettre en place les mesures correctives.

Le ticket côté April https://agir.april.org/issues/5706


Related issues

Related to visio.chapril.org - Demande #5705: Vérifier la correction de log4shellFermé12/11/2021

Actions

History

#3

Updated by Frédéric Couchet 12 months ago

  • Description updated (diff)
#5

Updated by Frédéric Couchet 12 months ago

  • Related to Demande #5705: Vérifier la correction de log4shell added
#6

Updated by Pierre-Louis Bonicoli 12 months ago

  • Pour la machine grof, les paquets liblog4j1.2-java et liblog4j2-java ne sont pas installés. Les paquets openjdk-11-jre-headless et ca-certificates-java sont présents. Étant donné qu'à ma connaissance ils ne sont pas utilisés et parce que liblog4j pourrait être bundlé , je propose de les supprimer.
#7

Updated by Pierre-Louis Bonicoli 12 months ago

Une discussion au sujet de la faille sur le forum chatons.

#8

Updated by Quentin Gibeaux 12 months ago

je lance le même find qu'à l'april sur l'infra

#9

Updated by Frédéric Couchet 12 months ago

Le bulletin d'alerte du CERT-FR (régulièrement mis à jour) https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

#10

Updated by Frédéric Couchet 12 months ago

Pierre-Louis Bonicoli a écrit :

  • Pour la machine grof, les paquets liblog4j1.2-java et liblog4j2-java ne sont pas installés. Les paquets openjdk-11-jre-headless et ca-certificates-java sont présents. Étant donné qu'à ma connaissance ils ne sont pas utilisés et parce que liblog4j pourrait être bundlé , je propose de les supprimer.

C'est toi qui connaît le mieux la VM. Si tu penses qu'il faut supprimer les paquets fais-le stp.

#11

Updated by Quentin Gibeaux 12 months ago

===== bastion =====
Connection to bastion.cluster.chapril.org closed.
===== admin =====
Connection to admin.cluster.chapril.org closed.
===== dns =====
Connection to dns.cluster.chapril.org closed.
===== mail =====
Connection to mail.cluster.chapril.org closed.
===== pouet =====
Connection to pouet.cluster.chapril.org closed.
===== sympa =====
Connection to sympa.cluster.chapril.org closed.
===== lamp =====
/srv/chaprilinfos/log4j.properties
Connection to lamp.cluster.chapril.org closed.
===== pad =====
/var/www/etherpad-lite-1.8.6/src/node_modules/log4js/test/log4js.json
/var/www/etherpad-lite-1.8.6/src/node_modules/log4js/lib/log4js.js
/var/www/etherpad-lite-1.8.6/src/node_modules/log4js/lib/log4js.json
/var/www/etherpad-lite-1.8.4/src/node_modules/log4js/test/log4js.json
/var/www/etherpad-lite-1.8.4/src/node_modules/log4js/lib/log4js.js
/var/www/etherpad-lite-1.8.4/src/node_modules/log4js/lib/log4js.json
/var/www/etherpad-lite-1.8.7/src/node_modules/log4js/test/log4js.json
/var/www/etherpad-lite-1.8.7/src/node_modules/log4js/lib/log4js.js
/var/www/etherpad-lite-1.8.7/src/node_modules/log4js/lib/log4js.json
/var/www/etherpad-1.8.4-test/src/node_modules/log4js/test/log4js.json
/var/www/etherpad-1.8.4-test/src/node_modules/log4js/lib/log4js.js
/var/www/etherpad-1.8.4-test/src/node_modules/log4js/lib/log4js.json
Connection to pad.cluster.chapril.org closed.
===== libreoffice =====
channel 0: open failed: connect failed: No route to host
stdio forwarding failed
ssh_exchange_identification: Connection closed by remote host
===== valise =====
find: ‘/proc/169840/task/169840/net’: Argument invalide
find: ‘/proc/169840/net’: Argument invalide
find: ‘/proc/170310/task/170310/net’: Argument invalide
find: ‘/proc/170310/net’: Argument invalide
find: ‘/proc/172206/task/172206/net’: Argument invalide
find: ‘/proc/172206/net’: Argument invalide

Connection to valise.cluster.chapril.org closed.
===== xmpp =====
Connection to xmpp.cluster.chapril.org closed.
===== drop =====
Connection to drop.cluster.chapril.org closed.
===== allo =====
/usr/share/jitsi-videobridge/lib/log4j-api-2.15.0.jar
/usr/share/jitsi-videobridge/lib/log4j-core-2.15.0.jar
/etc/jitsi/videobridge/log4j2.xml
Connection to allo.cluster.chapril.org closed.
===== ludo =====
Connection to ludo.cluster.chapril.org closed.
===== biliz =====
Connection to biliz.cluster.chapril.org closed.
===== catom =====
channel 0: open failed: connect failed: No route to host
stdio forwarding failed
ssh_exchange_identification: Connection closed by remote host
===== grof =====
Connection to grof.cluster.chapril.org closed.
===== maine.chapril.org =====
Connection to maine.chapril.org closed.
===== coon.chapril.org =====
Connection to coon.chapril.org closed.
===== felicette.orbite.chapril.org =====
Connection to felicette.orbite.chapril.org closed.

Il y a donc des choses à voir sur lamp, allo

#12

Updated by Romain H. 12 months ago

Pour lamp j'ai désactivé la tâche cron qui lance ce code il y a quelques jours par mesure de précaution.
Il faudrait voir comment mettre à jour la bibliothèque avant de la réactiver.

#13

Updated by François Poulain 11 months ago

Faudrait épouiller les jar qui tournent s'il y en a.

#14

Updated by Frédéric Couchet 10 months ago

  • Assignee set to Romain H.
#15

Updated by Pierre-Louis Bonicoli 8 months ago

  • Target version changed from Sprint 2021 décembre to Sprint 2022 avril
#16

Updated by Pierre-Louis Bonicoli 7 months ago

  • Target version changed from Sprint 2022 avril to Backlog
#17

Updated by Pierre-Louis Bonicoli 1 day ago

  • Status changed from Nouveau to Résolu
  • Target version changed from Backlog to Sprint 2022 décembre
  • % Done changed from 0 to 100

statoolinfos ne tourne plus (#5985).

Also available in: Atom PDF