Bonjour,
Ton retour est complètement biaisé
"j'ai été très surpris de la faible surface d'attaque " "on a très peu de trucs en Java, langage que je fuis depuis quelques années"
c'est une attaque lié à JAVA, donc si tu évite d'en avoir tu risque pas d'être très touché.
C'est comme si tu disais que tu évite les serveurs Microsoft mais que tu sois surpris de la faible surface d'attaque sur le RDP \o/
Il y a des gens qui ont pas mal d'applications en JAVA (et il y en a énormément).
Ce message est juste pour éviter de minimiser ce problème de log4j.
Sur mes serveurs, j'ai eu des tentatives d'attaques (logs web) depuis le 10 décembre.
David Durieux
On Tue, 14 Dec 2021 09:02:47 +0100 Julien Escario julien.escario@altinea.fr wrote:
Bonjour,
Tentons de reprendre le cours normal de ce thread : j'ai passé la journée d'hier à tenter d'exploiter la faille sur des trucs 'legacy' justement un peu partout et j'ai été très surpris de la faible surface d'attaque que nous avons par rapport aux cris d’orfraies que j'ai pu lire et ici là.
Alors, on a très peu de trucs en Java, langage que je fuis depuis quelques années déjà par respect pour la RAM de mes machines mais en gros, à part Graylog, rien vu à mettre à jour en urgence.
Zimbra, pas touché Puppet, pas touché Big Blue Button, pas touché
Unifi est touché à priori mais je n'ai pas réussi à l'exploiter avant de passer -Dlog4j2.formatMsgNoLookups=true
Si quelqu'un veut un test d'exploitation sur un service vulnérable, j'ai un bout de script qui se contente de faire un 'touch /tmp/pwned'
Bonne journée,
Julien
Le 13/12/2021 à 15:18, Seb Astien a écrit :
Qui n'a plus de legacy de nos jours ?
Le lun. 13 déc. 2021 à 14:54, Vincent Habchi <vincent@geomag.fr mailto:vincent@geomag.fr> a écrit :
> On 13 Dec 2021, at 13:18, David Ponzone > <david.ponzone@gmail.com <mailto:david.ponzone@gmail.com>> wrote: > > Pour ceux qui l’auraient raté: Qui utilise encore Apache de nos jours ? V. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ <http://www.frsag.org/>
Liste de diffusion du FRsAG http://www.frsag.org/