Dernière mise à jour le 20/12/2021, 10h CEST
État de la vulnérabilité Log4j dans LogPoint
Récemment, une vulnérabilité critique d’exécution de code à distance (CVE-2021-44228), également connue sous le nom de Log4Shell, a été découverte et affecte les versions 2.0-2.14.1 d’Apache Log4j. Log4j est une bibliothèque de logging populaire en Java et est utilisée dans plusieurs applications d’entreprise, notamment les produits LogPoint.
État de vulnérabilité des produits LogPoint
Pour le moment, nous avons déterminé qu’aucun produit LogPoint n’était affecté par cette vulnérabilité, et nous mettrons à jour cette page en fonction de l’évolution de nos investigations. Pour obtenir des informations détaillées sur l’état de vulnérabilité de chaque produit LogPoint, veuillez consulter le tableau ci-dessous. Si vous avez des questions concernant cette dernière, veuillez contacter votre représentant LogPoint.
Détails de la vulnérabilité de chaque produit LogPoint
* Remarque : log4j v1.2.x est vulnérable à une autre faille de sécurité, qui n’est exploitable que lors de l’utilisation de la classe JMSAppender. Alors que LogPoint utilise log4j dans la version 1.2, JMSAppender n’est pas utilisé dans LogPoint et nous avons activement tenté d’exploiter cette vulnérabilité, confirmant ainsi que dans de tels cas, log4j v1.2 n’était pas vulnérable avec la configuration de déploiement actuelle.
La vulnérabilité Log4j 1.x n’est pas applicable et l’obsolescence de log4j est imminente
Nous utilisons log4j comme moteur de logging pour nos composants basés sur Java, mais log4j n’est pas notre moteur de logging principal et il n’est utilisé que pour quelques composants. LogPoint utilise logback comme moteur de logging principal et LogPoint se prépare donc à l’obsolescence imminente de log4j.
Log4j consomme les messages de log directement et uniquement à partir des composants Java internes et ces derniers ne sont pas exposés au monde extérieur.
Plus précisément, la vulnérabilité Log4j 1.x ne s’applique pas au produit LogPoint car nous n’utilisons pas la fonction JMSappender.