Ajouter un commentaire

Log4J : toujours un point sensible ?

Par:
ftonic

ven, 02/12/2022 - 07:54

Il y a un an, c'était la panique : les failles Log4J se succédaient. Les patchs ont mis plusieurs semaines à se stabiliser et à combler les failles Log4Shell. Un an plus tard, la situation serait loin d'être parfaite à en croire un rapport de Tenable. 28 % des entreprises seront totalement protégées. 53 % restaient potentiellement vulnérables. En octobre, 29 % des actifs scannés gardaient des failles Log4Shell. 

Comment expliquer cette situation ? Les entreprises, les éditeurs, les ESN n'ont pas forcément réduits la surface d'attaque ni déployés les mises à jour. Dans certaines entreprises, il faut un long processus de validation d'une nouvelle version. Enfin, il y a aussi les vulnérabilités Log4Shell non identifiées soit par négligeance soit pour ignorance. Une des difficultés avec Log4J est de savoir où il est utilisé et par quels composants. La multiplication des couches et des librairies ne facilitent pas cette identification. Et ensuite, il faut savoir qui doit faire la mise à jour : l'entreprise, le prestataire, l'éditeur, etc. 

Or dans le cas d'une app, d'une librairie qui n'est plus supportée, ou encore une couche encapsulée dans d'autres couches, difficile de déterminer qui doit agir...

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-)
 BBBB   W     W  PPPP   L     K  K 
B B W W P P L K K
BBBB W W W PPPP L KK
B B W W W P L K K
BBBB W W P LLLL K K