On Tue, Dec 14, 2021 at 10:18 AM Julien Escario julien.escario@altinea.fr wrote:
C'est comme si tu disais que tu évite les serveurs Microsoft mais que tu sois surpris de la faible surface d'attaque sur le RDP \o/
OK, bonne ambiance ! Tu pourrais limiter ton commentaire à dire que l'avis des autres ne t’intéresse pas.
Depuis 2 ans j'ai les mêmes mots de l'année : tolérance et bienveillance.
Et tu as une source pour ton affirmation ? Énormément, c'est quoi ? Combien utilisent log4j ?
Du coup, si tu veux faire un commentaire utile, entre les boites de sécurité qui annoncent ça comme la faille de la décennie et mon vécu avec très peu d'impact, tu as un retour factuel à faire ?
Nous avons plusieurs logiciels impactés (qui utilisent log4j ou dont
l'éditeur traite la faille, je n'ai fait aucun test pour le coup), aucun "internet facing" : - vmware (vcenter, orchestrator, nsx) - des logiciels de gestion de baies de stackage - rundeck - symantec antivirus
Tous les services java, serveurs d'appli jboss, websphere, etc sont vulnérables dès lors qu'ils sont joignables (ils sont derrière des reverse proxies qui peuvent protéger, si ils sont configurés pour....). La menace peut aussi être interne, même si on a tendance à la minimiser...
Mes 2 cents,
Jeremy