Path: ...!weretis.net!feeder6.news.weretis.net!feeder8.news.weretis.net!news.imp.ch!news.alphanet.ch!alphanet.ch!.POSTED.localhost!not-for-mail From: Marc SCHAEFER Newsgroups: fr.comp.securite Subject: Re: Log4Dhell Date: Tue, 28 Dec 2021 09:19:54 -0000 (UTC) Organization: Posted through ALPHANET Message-ID: References: Mime-Version: 1.0 Content-Type: text/plain; charset=ISO-8859-1 Content-Transfer-Encoding: 8bit Injection-Date: Tue, 28 Dec 2021 09:19:54 -0000 (UTC) Injection-Info: shakotay.alphanet.ch; posting-host="localhost:127.0.0.1"; logging-data="27522"; mail-complaints-to="usenet@alphanet.ch" User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-18-amd64 (x86_64)) Cancel-Lock: sha256:KffqD0x5BxcZyvAeiKsfLaHVA02zpiXYRaKBAhDO4oc= Bytes: 1753 Lines: 21 Jo Engo wrote: > Un exploit qui peut faire des dégâts : Log4shell Si on a du Java installé. J'ai fait le tour de mes serveurs de production, pas de runtime Java du tout. > Y a-t-il une parade, log4j sera-t-il mis à jour dans les dépôts *ux ? Oui, Debian a déjà fait plusieurs mises à jour (à voir ce n'est pas facile). > priori aussi de log4shell, mais comment vérifier ?), et sur mon > téléphone ??? Ah, évidemment, un téléphone est un nid à Java. D'autant plus que dans le monde Java on aime livrer l'ensemble des dépendances sous forme d'un zip, donc il ne suffit pas de mettre à jour la dépendance, encore faut-il ouvrir tous les zip, mettre à jour, etc. Un peu le problème du Flatpak ou autres formats `auto-contenus' sous OS standard.