{ "id": 1425, "date": "2023-02-15T13:19:42", "date_gmt": "2023-02-15T18:19:42", "guid": { "rendered": "https:\/\/testing.sqalogic.com\/?p=1425" }, "modified": "2023-10-25T09:30:23", "modified_gmt": "2023-10-25T14:30:23", "slug": "vulnerabilite-zero-day-appache-log4j", "status": "publish", "type": "post", "link": "https:\/\/sqalogic.com\/fr\/vulnerabilite-zero-day-appache-log4j\/", "title": { "rendered": "Vuln\u00e9rabilit\u00e9 \u201cZero day\u201d dans Appache log4j" }, "content": { "rendered": "

D\u00e9but d\u00e9cembre 2021,\u00a0une vuln\u00e9rabilit\u00e9 \u00ab\u00a0zero day\u00a0\u00bb critique<\/a>\u00a0dans l\u2019utilitaire\u00a0Apache log4j<\/strong>\u00a0a \u00e9t\u00e9 publi\u00e9e. L\u2019exploit connu sous le nom de\u00a0log4shell<\/a>, permet l\u2019ex\u00e9cution de code arbitraire sur les syst\u00e8mes affect\u00e9s, dont beaucoup comprennent des serveurs qui font partie de l\u2019infrastructure et des services centraux de l\u2019Internet.<\/p>\n

Pour nos clients concern\u00e9s par la vuln\u00e9rabilit\u00e9 de\u00a0log4j<\/strong>, nous comprenons que la s\u00e9curit\u00e9 de votre \u00e9cosyst\u00e8me est cruciale pour votre succ\u00e8s, et que les r\u00f4les critiques de ces dispositifs signifient que toute menace est critique pour l\u2019entreprise. Cependant, comme de nombreuses organisations sont d\u00e9j\u00e0 dans les phases de planification, de rem\u00e9diation et\/ou de surveillance, nous pensons qu\u2019avec la bonne strat\u00e9gie et les bonnes ressources, la rem\u00e9diation est rapidement r\u00e9alisable.<\/p>\n

L\u2019exploit\u00a0log4shell<\/strong>\u00a0exploite une vuln\u00e9rabilit\u00e9 dans l\u2019interface Java Naming and Directory (JNDI) pour effectuer des recherches \u00e0 distance. Si une application repose sur des serveurs Web vuln\u00e9rables \u00e0\u00a0log4shell<\/strong>, le syst\u00e8me d\u2019exploitation sur lequel elle est ex\u00e9cut\u00e9e n\u2019a gu\u00e8re d\u2019importance, car l\u2019exploitation se produit du c\u00f4t\u00e9 du serveur (et non du client).<\/p>\n

Bien que la cr\u00e9ation d\u2019une application utilisant\u00a0log4j\u00a0<\/strong>demande un effort important, vous devriez tout de m\u00eame faire preuve de diligence raisonnable et v\u00e9rifier aupr\u00e8s de votre \u00e9quipe de d\u00e9veloppement interne et de vos fournisseurs de logiciels leur r\u00e9action \u00e0\u00a0log4shell<\/strong>. Si vous rencontrez des difficult\u00e9s pour contacter le repr\u00e9sentant de votre fournisseur de logiciel, SQALogic peut aider vos clients \u00e0 r\u00e9cup\u00e9rer toute information associ\u00e9e \u00e0 leurs outils logiciels d\u2019assurance qualit\u00e9, de performance et de test g\u00e9n\u00e9ral.<\/p>\n

Voici quelques-unes des recommandations de nos partenaires en mati\u00e8re de rem\u00e9diation, ainsi que celles de certains fournisseurs bien connus de l\u2019industrie du logiciel :<\/strong><\/p>\n