Avertissement de l’Office fédéral de la sécurité de l’information
Mise à jour 13 déc.2021 : Comme nous vous en avons déjà informé dans notre e-mail du week-end, il y a actuellement une alerte de sécurité de l’Office fédéral allemand pour la sécurité de l’information concernant l’utilisation de log4j.
La bonne nouvelle est que la vulnérabilité mentionnée ne constitue pas une menace immédiate pour nos modules. Néanmoins, nous vous recommandons l’action suivante:
Interdisez à vos systèmes d’accéder à des ressources sur Internet !
Pour les plus avertis d’entre vous, nous vous proposons une analyse détaillée ici. Nous avons vérifié minutieusement nos logiciels et pouvons maintenant vous indiquer quels produits ou modules sont concernés par la faille de sécurité dans log4j 2.x. Vous pouvez vérifier quels produits sont concernés dans notre e-mail du 13 décembre 2021.
Tous les modules logiciels des familles de produits BusinessLine (AdSuite), ProductionLine (OpenMedia) et ContentLine qui ne figurent pas dans notre courrier ne sont pas affectés par cette faille de sécurité. Ces modules sont largement basés sur le framework Java SpringBoot, qui utilise la bibliothèque Logback (http://logback.qos.ch) pour la journalisation, qui n’est pas affectée par cette vulnérabilité.
Tous les modules qui n’utilisent pas ce framework intègrent directement Logback ou utilisent log4j en version 1.x. La première version de log4j n’est pas affectée par la vulnérabilité de sécurité. Les versions 1.x de log4j ne sont pas non plus affectées par la faille de sécurité, tant qu’aucun appender JMS n’est utilisé, ce qui n’est le cas d’aucun des logiciels d’alfa Media.
Notre stratégie de solution
Une protection rapide est importante. Pour tous les modules énumérés ci-dessus, il existe des versions corrigées disponibles immédiatement qui permettent de résoudre le problème en passant à logback ou en mettant à jour la version 2.16.0 de log4j.
Dans la mesure du possible, nous remplacerons la bibliothèque affectée sur vos systèmes par la version 2.16.0 comme mesure ad hoc – en consultation avec vous. Nous vous contacterons prochainement pour ce sujet.
————————————
Message du 11 décembre 2021
Vous avez certainement déjà remarqué l’avertissement de l’Office fédéral allemand de la sécurité de l’information (BSI) concernant Log4j.
Log4j est utilisé par de nombreux fabricants comme progiciel de journalisation dans diverses applications logicielles populaires, notamment Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter et des jeux vidéo tels que Minecraft.
Le BSI constate actuellement une augmentation de la situation des menaces informatiques pour les processus et les applications des entreprises. En raison de l’analyse généralisée actuelle, une éventuelle infection ultérieure des systèmes et applications vulnérables ne peut être exclue, notamment en raison du manque actuel de correctifs.
Vous vous demandez probablement si et, le cas échéant, quel effet cela aura sur les applications alfa utilisées dans votre organisation. Nous travaillons à plein régime pour éliminer toutes les menaces possibles pour vous. Pour nos modules B2C librement accessibles (par exemple WebStore, GlobalPurchase), nous utilisons depuis des années Logback, qui est l’alternative à Log4j. Néanmoins, nous vérifions actuellement tous les modules alfa ainsi que nos installations d’hébergement pour nous assurer que vous ne rencontrerez aucun problème.
Dans le cas peu probable où des situations problématiques se présenteraient, nous vous contacterons directement et sans délai.