Vulnérabilités CVE-2021-44228, CVE-2021-45046 et CVE-2021-4104

Villebon sur Yvette, le 21 décembre 2021

Communication de Vigilance

OBJET :

Alerte du CERT-FR concernant les vulnérabilités CVE-2021-44228, CVE-2021-45046 et CVE-2021-4104 Apache Log4J

CONTEXTE :

Le CERT-FR, Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, attire notre attention sur les vulnérabilités critiques CVE-2021-44228, CVE-2021-45046 et CVE-2021-4104 affectant la bibliothèque de journalisation Log4j éditée par Apache.

« Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Cette bibliothèque est très souvent utilisée dans les projets de développement d’application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE.

Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification. »

Des preuves de concept ont déjà été publiées. Cette vulnérabilité fait désormais l’objet d’une exploitation active.

IMPACT POUR ALCEA :

La solution de supervision d’ALCEA (Logiciel ALWIN – automates SA2 et SA3 CSPN – contrôleur MTE et MTE2 CSPN par exemples) n’est pas concernée par les failles de sécurité en objet, aucun de ses produits n’est affecté puisqu’elle n’utilise pas la technologie Apache.

DEMARCHES :

  • Vis-à-vis de l’ANSSI :

ALCEA a porté à la connaissance de l’Agence Nationale de la Sécurité des Systèmes d’Information que les vulnérabilités en objet n’ont pas d’impact sur ses produits certifiés et qualifiés.

  • Vis-à-vis de ses clients et de son personnel interne :

ALCEA informe ses clients et son personnel, par cette communication, et les sensibilise sur le fait d’être vigilant concernant l’environnement dans lequel sont installées les applications ALWIN. En effet, cette bibliothèque vulnérable Log4j peut-être présente dans d’autres logiciels installés sur le même PC qu’ALWIN et également dans les systèmes d’exploitation ou les environnements virtualisés qui y sont rattachés. Il est fortement conseillé de se renseigner auprès des hébergeurs et des services assurant la maintenance du système d’information.

Vos contacts habituels ALCEA restent à votre disposition pour toute question.

POUR PLUS D’INFORMATION :

La Direction Technique

Autres articles récents du blog

Front view of businesspeople passing by a reception counter in an office with panoramic windows. 3d rendering, toned image

Révolutionnez votre Gestion de Visiteurs : Bénéficiez des Badges d’Accès et Borne Interactive avec QR Code

La gestion des visiteurs est un aspect crucial de la sécurité et de l’efficacité opérationnelle dans de nombreuses organisations. Avec les avancées technologiques, les entreprises cherchent constamment des solutions innovantes pour simplifier et optimiser ce processus.
Future. Face Detection. Technological 3d Scanning. Biometric Facial Recognition. Face Id. Technological Scanning Of The Face Of Beautiful Caucasian Woman In The City For Facial Recognition. Shoted By Arri Alexa Mini.

La biométrie et le contrôle d’accès

L’utilisation de la biométrie dans les objets du quotidien, tel que le téléphone par exemple, n’a de cesse d’augmenter et le marché français du contrôle d’accès par biométrie suit cette même évolution.
Vidéoprotection et vidéosurveillance

Vidéoprotection, vidéosurveillance, quelle différence ?

Il existe une distinction entre vidéoprotection et vidéosurveillance même si ces deux termes renvoient à la même fonction : utiliser des caméras vidéos pour assurer la sûreté des biens, des bâtiments et des personnes.