Log4J : toujours un point sensible ?
ven, 02/12/2022 - 07:54
Il y a un an, c'était la panique : les failles Log4J se succédaient. Les patchs ont mis plusieurs semaines à se stabiliser et à combler les failles Log4Shell. Un an plus tard, la situation serait loin d'être parfaite à en croire un rapport de Tenable. 28 % des entreprises seront totalement protégées. 53 % restaient potentiellement vulnérables. En octobre, 29 % des actifs scannés gardaient des failles Log4Shell.
Comment expliquer cette situation ? Les entreprises, les éditeurs, les ESN n'ont pas forcément réduits la surface d'attaque ni déployés les mises à jour. Dans certaines entreprises, il faut un long processus de validation d'une nouvelle version. Enfin, il y a aussi les vulnérabilités Log4Shell non identifiées soit par négligeance soit pour ignorance. Une des difficultés avec Log4J est de savoir où il est utilisé et par quels composants. La multiplication des couches et des librairies ne facilitent pas cette identification. Et ensuite, il faut savoir qui doit faire la mise à jour : l'entreprise, le prestataire, l'éditeur, etc.
Or dans le cas d'une app, d'une librairie qui n'est plus supportée, ou encore une couche encapsulée dans d'autres couches, difficile de déterminer qui doit agir...