Vulnérabilités CVE-2021-44228, CVE-2021-45046 et CVE-2021-4104 Apache Log4J

Villebon sur Yvette, le 21 décembre 2021

Communication de Vigilance

OBJET :

Alerte du CERT-FR concernant les vulnérabilités CVE-2021-44228, CVE-2021-45046 et CVE-2021-4104 Apache Log4J

CONTEXTE :

Le CERT-FR, Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, attire notre attention sur les vulnérabilités critiques CVE-2021-44228, CVE-2021-45046 et CVE-2021-4104 affectant la bibliothèque de journalisation Log4j éditée par Apache.

« Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Cette bibliothèque est très souvent utilisée dans les projets de développement d’application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE.

Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification. »

Des preuves de concept ont déjà été publiées. Cette vulnérabilité fait désormais l’objet d’une exploitation active.

IMPACT POUR ALCEA :

La solution de supervision d’ALCEA (Logiciel ALWIN – automates SA2 et SA3 CSPN – contrôleur MTE et MTE2 CSPN par exemples) n’est pas concernée par les failles de sécurité en objet, aucun de ses produits n’est affecté puisqu’elle n’utilise pas la technologie Apache.

DEMARCHES :

  • Vis-à-vis de l’ANSSI :

ALCEA a porté à la connaissance de l’Agence Nationale de la Sécurité des Systèmes d’Information que les vulnérabilités en objet n’ont pas d’impact sur ses produits certifiés et qualifiés.

  • Vis-à-vis de ses clients et de son personnel interne :

ALCEA informe ses clients et son personnel, par cette communication, et les sensibilise sur le fait d’être vigilant concernant l’environnement dans lequel sont installées les applications ALWIN. En effet, cette bibliothèque vulnérable Log4j peut-être présente dans d’autres logiciels installés sur le même PC qu’ALWIN et également dans les systèmes d’exploitation ou les environnements virtualisés qui y sont rattachés. Il est fortement conseillé de se renseigner auprès des hébergeurs et des services assurant la maintenance du système d’information.

Vos contacts habituels ALCEA restent à votre disposition pour toute question.

POUR PLUS D’INFORMATION :

La Direction Technique

Autres articles récents du blog

visuel grand

Vulnérabilités CVE-2021-44228, CVE-2021-45046 et CVE-2021-4104 Apache Log4J

ALWIN n’est pas concernée par les failles de sécurité de la bibliothèque de journalisation Log4j éditée par Apache, cependant nous nous devons d’attirer votre vigilance…
badge sécurité contôle accès vigipirate identité autorisation entrée identification passage main

Quelles sont les évolutions majeures dans le contrôle d’accès ?

Le contrôle d’accès a été marqué par plusieurs évolutions au fil des années, avant d’accorder de plus en plus d’attention à la sécurité.
be_alcea

Le monde du bâtiment et les fabricants de contrôle d’accès

Les fabricants de contrôle d’accès sont spécialisés dans la conception de solution logicielle et matérielle pour assurer la sûreté du bâtiment et en l’occurrence des biens et des personnes concernés.