Path: ...!weretis.net!feeder6.news.weretis.net!feeder8.news.weretis.net!news.imp.ch!news.alphanet.ch!alphanet.ch!.POSTED.localhost!not-for-mail
From: Marc SCHAEFER <schaefer@alphanet.ch>
Newsgroups: fr.comp.securite
Subject: Re: Log4Dhell
Date: Tue, 28 Dec 2021 09:19:54 -0000 (UTC)
Organization: Posted through ALPHANET
Message-ID: <sqekrq$qs2$1@shakotay.alphanet.ch>
References: <sqekid$d9j$1@shakotay.alphanet.ch>
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
Injection-Date: Tue, 28 Dec 2021 09:19:54 -0000 (UTC)
Injection-Info: shakotay.alphanet.ch; posting-host="localhost:127.0.0.1";
	logging-data="27522"; mail-complaints-to="usenet@alphanet.ch"
User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-18-amd64 (x86_64))
Cancel-Lock: sha256:KffqD0x5BxcZyvAeiKsfLaHVA02zpiXYRaKBAhDO4oc=
Bytes: 1753
Lines: 21

Jo Engo <yl@icite.fr> wrote:
> Un exploit qui peut faire des dégâts : Log4shell

Si on a du Java installé. J'ai fait le tour de mes serveurs de
production, pas de runtime Java du tout.

> Y a-t-il une parade, log4j sera-t-il mis à jour dans les dépôts *ux ?

Oui, Debian a déjà fait plusieurs mises à jour (à voir ce n'est pas
facile).

> priori aussi de log4shell, mais comment vérifier ?), et sur mon 
> téléphone ???

Ah, évidemment, un téléphone est un nid à Java.

D'autant plus que dans le monde Java on aime livrer l'ensemble des
dépendances sous forme d'un zip, donc il ne suffit pas de mettre à jour
la dépendance, encore faut-il ouvrir tous les zip, mettre à jour, etc.

Un peu le problème du Flatpak ou autres formats `auto-contenus' sous OS
standard.