Sujet : Re: Log4Dhell
De : schaefer (at) *nospam* alphanet.ch (Marc SCHAEFER)
Groupes : fr.comp.securiteDate : 28. Dec 2021, 10:19:54
Autres entêtes
Organisation : Posted through ALPHANET
Message-ID : <sqekrq$qs2$1@shakotay.alphanet.ch>
References : 1
User-Agent : tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-18-amd64 (x86_64))
Jo Engo <
yl@icite.fr> wrote:
Un exploit qui peut faire des dégâts : Log4shell
Si on a du Java installé. J'ai fait le tour de mes serveurs de
production, pas de runtime Java du tout.
Y a-t-il une parade, log4j sera-t-il mis à jour dans les dépôts *ux ?
Oui, Debian a déjà fait plusieurs mises à jour (à voir ce n'est pas
facile).
priori aussi de log4shell, mais comment vérifier ?), et sur mon
téléphone ???
Ah, évidemment, un téléphone est un nid à Java.
D'autant plus que dans le monde Java on aime livrer l'ensemble des
dépendances sous forme d'un zip, donc il ne suffit pas de mettre à jour
la dépendance, encore faut-il ouvrir tous les zip, mettre à jour, etc.
Un peu le problème du Flatpak ou autres formats `auto-contenus' sous OS
standard.
Log4Dhell
Log4Shell (was un paté)
