Vendredi soir, les médias ont signalé une vulnérabilité dans la bibliothèque Java «Log4j» (CVE-2021-44228). Depuis samedi, les autorités publiques ont décrété le niveau d'alerte rouge à ce sujet. Nous vous informons ici des conséquences pour les solutions POLYPOINT de cette faille de sécurité dans Java.
POLYPOINT a vérifié pour tous les composants livrés s’ils sont impactés par la faille de sécurité de log4j.
Selon les connaissances actuelles (état au 13.12.2021), il existe un danger potentiel uniquement pour le composant dans POLYPOINT KIS, courbe 4.0 ou supérieure.
Sont concernés les SIH POLYPOINT, Kurve 4.0 ou supérieure. Un risque particulier existe si votre application est utilisée en dehors du réseau interne (via Internet). En règle générale, cela ne s'applique pas à cette application. Il incombe au client de vérifier si le système est accessible depuis l'extérieur.
Si votre application Kurve 4.0 est disponible à l'extérieur, nous vous recommandons de prendre les mesures suivantes pour exclure une attaque sur votre système :
Dans la configuration de la courbe, le paramètre log4j2.formatMsgNoLookups peut être défini sur true. Pour que cette configuration soit activée, l'exploitation doit être interrompue et le service de l'application Kurve 4.0 doit être redémarré.
Pour l'exécution de la mesure ci-dessus, veuillez vous adresser à notre support : Contact.
Nous avons utilisé comme source les informations de l'organisme officiel GovCERT.ch. Vous trouverez plus d'informations ici : https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/#