Vulnérabilité dans Apache Log4j

par Delphine DELHERME

MAJ 23/12/2021 09h42

Le CERT-FR et l’ANSSI ont signalé le 10 décembre 2021 une importante vulnérabilité de sécurité dans une librairie très communément utilisée dans tous les projets et logiciels développés en Java. Cette vulnérabilité, identifiée dans la librairie Apache Log4j utilisée pour la journalisation, est susceptible de permettre à des cyberattaquants de prendre le contrôle des systèmes d’information (https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/ - mise à jour le 05/01/2022).

Cette vulnérabilité, également appelée « log4shell », est causée par une fonctionnalité de Log4j introduite dans les versions 2.x permettant, par l’interprétation d’une chaîne de caractères dans un message journalisé, de se connecter à un site distant sans authentification ou d’exécuter du code directement.

Il s’agit d’une vulnérabilité de sécurité d’ampleur mondiale et classée de niveau 10 par la fondation Apache.

Point de situation concernant les logiciels de Visiativ
développés en Java ou utilisant des composants Java

Logiciel

Statut de vulnérabilité

Audros

Non concerné

Isoflex

Non concerné

Moovapps Cloud

Sécurisation réalisée le 14/12/21

Moovapps Document (hébergé avec recherche fulltext)

Sécurisation réalisée le 14/12/21

Moovapps Document (on-premise avec recherche fulltext)

Non concerné dans la configuration standard.

La vulnérabilité pourrait exister, mais sans possibilité d’exploitation directe via le logiciel, par suite d'une modification spécifique des paramètres de configuration par le client et d’activation de la recherche fulltext. Une mise à jour du logiciel, protégeant des modifications de configuration non recommandées, est disponible en téléchargement sur cette page (cliquez ici - login requis).

Moovapps Document (sans recherche fulltext)

Non concerné

Moovapps Drive

Non concerné

Moovapps IoT (Timelab)

Non concerné

Moovapps Live

Non concerné

Moovapps Process

Non concerné

Moovapps Team

Non concerné

myCadservices

Non concerné

my3Dplayer, myCADplace, myProduct, myApps

Non concerné

Situation mise à jour le 17/12/2021 à 16h00

Les solutions logicielles de Visiativ qui ne sont pas listées dans le tableau ci-dessus (Aquarelle, DM SQL Living Actor, Moovapps Commerce, Novaxel, …) ne sont pas développées en Java et n’utilisent pas de composants Java ; elles ne sont donc pas concernées par cette vulnérabilité.

Concernant les solutions de Dassault Systèmes, vous trouverez des informations concernant leur exposition à cette vulnérabilité sur cette page https://www.lynkoa.com/actualites/information-produit-faille-de-sécurité-détectée-sur-la-librairie-log4j.

La recommandation du CERT-FR et de l’ANSSI d’organiser une surveillance accrue de vos systèmes et de filtrer les flux sortants de vos serveurs pour les limiter aux seuls flux autorisés vers des services de confiance reste conseillée.

Cette communication est mise à jour au fur et à mesure de nos investigations et conclusions.

Vous pouvez nous contacter à l’adresse securite@visiativ.com si vous désirez obtenir des informations plus détaillées.

La protection de vos données est notre priorité et nos équipes travaillent continuellement afin de vous apporter des services toujours plus fiables et sécurisés.

Partager