Vulnérabilités CVE-2021-44228, CVE-2021-45046 et CVE-2021-4104

Villebon sur Yvette, le 21 décembre 2021

Communication de Vigilance

OBJET :

Alerte du CERT-FR concernant les vulnérabilités CVE-2021-44228, CVE-2021-45046 et CVE-2021-4104 Apache Log4J

CONTEXTE :

Le CERT-FR, Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, attire notre attention sur les vulnérabilités critiques CVE-2021-44228, CVE-2021-45046 et CVE-2021-4104 affectant la bibliothèque de journalisation Log4j éditée par Apache.

« Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Cette bibliothèque est très souvent utilisée dans les projets de développement d’application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE.

Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification. »

Des preuves de concept ont déjà été publiées. Cette vulnérabilité fait désormais l’objet d’une exploitation active.

IMPACT POUR ALCEA :

La solution de supervision d’ALCEA (Logiciel ALWIN – automates SA2 et SA3 CSPN – contrôleur MTE et MTE2 CSPN par exemples) n’est pas concernée par les failles de sécurité en objet, aucun de ses produits n’est affecté puisqu’elle n’utilise pas la technologie Apache.

DEMARCHES :

  • Vis-à-vis de l’ANSSI :

ALCEA a porté à la connaissance de l’Agence Nationale de la Sécurité des Systèmes d’Information que les vulnérabilités en objet n’ont pas d’impact sur ses produits certifiés et qualifiés.

  • Vis-à-vis de ses clients et de son personnel interne :

ALCEA informe ses clients et son personnel, par cette communication, et les sensibilise sur le fait d’être vigilant concernant l’environnement dans lequel sont installées les applications ALWIN. En effet, cette bibliothèque vulnérable Log4j peut-être présente dans d’autres logiciels installés sur le même PC qu’ALWIN et également dans les systèmes d’exploitation ou les environnements virtualisés qui y sont rattachés. Il est fortement conseillé de se renseigner auprès des hébergeurs et des services assurant la maintenance du système d’information.

Vos contacts habituels ALCEA restent à votre disposition pour toute question.

POUR PLUS D’INFORMATION :

La Direction Technique

Autres articles récents du blog

Vidéoprotection et vidéosurveillance

Vidéoprotection, vidéosurveillance, quelle différence ?

Il existe une distinction entre vidéoprotection et vidéosurveillance même si ces deux termes renvoient à la même fonction : utiliser des caméras vidéos pour assurer la sûreté des biens, des bâtiments et des personnes.
Blurred business commuters rushing in a modern trade fair entran

     Le contrôle d’accès sans fil

La solution de supervision sûreté ALWIN intègre les têtes de lectures dernières générations (sans fil, OSS…) et permet de mixer les technologies en fonction du niveau de sûreté du site.
visuel grand

Vulnérabilités CVE-2021-44228, CVE-2021-45046 et CVE-2021-4104

ALWIN n’est pas concernée par les failles de sécurité de la bibliothèque de journalisation Log4j éditée par Apache, cependant nous nous devons d’attirer votre vigilance…