Conséquence de log4j sur les Solutions POLYPOINT.

Vendredi soir, les médias ont signalé une vulnérabilité dans la bibliothèque Java «Log4j» (CVE-2021-44228). Depuis samedi, les autorités publiques ont décrété le niveau d'alerte rouge à ce sujet. Nous vous informons ici des conséquences pour les solutions POLYPOINT de cette faille de sécurité dans Java.

POLYPOINT a vérifié pour tous les composants livrés s’ils sont impactés par la faille de sécurité de log4j.

• ne contiennent pas log4j
• contiennent log4j dans une version qui n'est pas affectée par la faille de sécurité
• n'utilisent que des parties de log4j qui ne sont pas concernées par la faille de sécurité (concrètement : uniquement l'interface log4j, pas le core log4j).
  
  

Selon les connaissances actuelles (état au 13.12.2021), il existe un danger potentiel uniquement pour le composant dans POLYPOINT KIS, courbe 4.0 ou supérieure.

Que doivent faire les clients concernés ?

Sont concernés les SIH POLYPOINT, Kurve 4.0 ou supérieure. Un risque particulier existe si votre application est utilisée en dehors du réseau interne (via Internet). En règle générale, cela ne s'applique pas à cette application. Il incombe au client de vérifier si le système est accessible depuis l'extérieur.

Si votre application Kurve 4.0 est disponible à l'extérieur, nous vous recommandons de prendre les mesures suivantes pour exclure une attaque sur votre système :

Dans la configuration de la courbe, le paramètre log4j2.formatMsgNoLookups peut être défini sur true. Pour que cette configuration soit activée, l'exploitation doit être interrompue et le service de l'application Kurve 4.0 doit être redémarré.

Pour l'exécution de la mesure ci-dessus, veuillez vous adresser à notre support : Contact.

Nous avons utilisé comme source les informations de l'organisme officiel GovCERT.ch. Vous trouverez plus d'informations ici : https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/#