Le 14/12/2021 à 09:53, David Durieux a écrit :
Bonjour,
Ton retour est complètement biaisé
"j'ai été très surpris de la faible surface d'attaque " "on a très peu de trucs en Java, langage que je fuis depuis quelques années"
c'est une attaque lié à JAVA, donc si tu évite d'en avoir tu risque pas d'être très touché.
C'est comme si tu disais que tu évite les serveurs Microsoft mais que tu sois surpris de la faible surface d'attaque sur le RDP \o/
OK, bonne ambiance ! Tu pourrais limiter ton commentaire à dire que l'avis des autres ne t’intéresse pas.
Évidemment que mon retour est biaisé, lequel ne l'est pas ?
Pourquoi ai-je précisé que nous avions peu de choses basées sur Java et que j'ai ensuite listé les applications que j'ai repérées/testées ? Ca permet de mettre ce que l'on appelle communément du contexte et de juger de la profondeur du biais justement.
Il y a des gens qui ont pas mal d'applications en JAVA (et il y en a énormément).
Et tu as une source pour ton affirmation ? Énormément, c'est quoi ? Combien utilisent log4j ?
Du coup, si tu veux faire un commentaire utile, entre les boites de sécurité qui annoncent ça comme la faille de la décennie et mon vécu avec très peu d'impact, tu as un retour factuel à faire ?
Ce message est juste pour éviter de minimiser ce problème de log4j.
Le problème est évidemment sérieux puisque exploitable publiquement sur des services généralement exposés. Mais encore une fois, je me demande si la surface d'attaque est aussi importante qu'annoncé.
Par contre, lorsque la faille est présente, le service est très facile à violer. Le CVSS3 tiens compte de ces deux aspects.
Sur mes serveurs, j'ai eu des tentatives d'attaques (logs web) depuis le 10 décembre.
Oui, même chose. De même, j'ai plusieurs milliers de tentatives de brute force SSH chaque minute sur les serveurs pour lesquels ce n'est pas firewallé. Ce n'est pas pour autant que je fais ma drama-queen sécuritaire.
Julien