{"id":29208,"date":"2021-12-15T14:45:00","date_gmt":"2021-12-15T19:45:00","guid":{"rendered":"https:\/\/www.canarie.ca\/?post_type=document&p=29208"},"modified":"2024-12-03T10:35:43","modified_gmt":"2024-12-03T15:35:43","slug":"avis-aux-participants-de-la-fca-sur-log4j","status":"publish","type":"document","link":"https:\/\/www.canarie.ca\/fr\/document\/avis-aux-participants-de-la-fca-sur-log4j\/","title":{"rendered":"Avis aux participants de la FCA sur Log4j"},"content":{"rendered":"\n

Un exploit du jour z\u00e9ro a \u00e9t\u00e9 rapport\u00e9 concernant la biblioth\u00e8que de journalisation d\u2019Apache \u2014 Log4j. Parce qu\u2019elle permettrait \u00e0 un attaquant d\u2019en ex\u00e9cuter le code \u00e0 distance, cette vuln\u00e9rabilit\u00e9 rev\u00eat la plus haute importance et on lui a attribu\u00e9 la note de 10\/10<\/a>, ce qui n\u00e9cessite votre attention imm\u00e9diate de mani\u00e8re \u00e0 att\u00e9nuer les risques.<\/strong><\/p>\n\n\n\n

L\u2019infrastructure de la FCA de CANARIE qui sous-tend eduroam et la gestion f\u00e9d\u00e9r\u00e9e des identit\u00e9s (GFI) n\u2019est pas touch\u00e9e pour l\u2019instant. Tous les syst\u00e8mes ont \u00e9t\u00e9 s\u00e9curis\u00e9s et nous collaborons \u00e9troitement avec notre \u00e9quipe de la cybers\u00e9curit\u00e9 pour d\u00e9terminer toutes les r\u00e9percussions \u00e9ventuelles. \u00c9tant donn\u00e9e la gravit\u00e9 de la vuln\u00e9rabilit\u00e9, nous vous conseillons d\u2019utiliser toutes les rustines existantes et de suivre les recommandations que voici.<\/p>\n\n\n\n

La situation continue d\u2019\u00e9voluer. Ces directives pourraient donc \u00eatre modifi\u00e9es \u00e0 mesure que la communaut\u00e9 mondiale de gestion des identit\u00e9s et des acc\u00e8s en apprend davantage et diffuse l\u2019information pertinente.<\/p>\n\n\n\n

Mesure recommand\u00e9e<\/h3>\n\n\n\n

La biblioth\u00e8que vuln\u00e9rable Log4j2 (versions 2.0 \u00e0 2.14.1) se trouve dans log4j-core.jar. Elle doit imm\u00e9diatement \u00eatre mise \u00e0 jour avec la version <\/strong>v2.16.0<\/a> ou une autre, plus r\u00e9cente.<\/p>\n\n\n\n

Pour en savoir plus sur les risques que pose Log4j, lisez les explications sur log4shell.com<\/a>.<\/p>\n\n\n\n

Situation actuelle des services de la FCA<\/h3>\n\n\n\n

Gestion f\u00e9d\u00e9r\u00e9e des identit\u00e9s (GFI)<\/strong><\/p>\n\n\n\n

IdP Shibboleth \/ composants du logiciel SP :<\/strong> Non affect\u00e9s<\/strong> 
R\u00e9f\u00e9rence : https:\/\/shibboleth.net\/pipermail\/announce\/2021-December\/000253.html<\/a>  <\/p>\n\n\n\n

ADFS et ADFSToolkit :<\/strong> Non affect\u00e9s<\/strong> 
R\u00e9f\u00e9rence : https:\/\/msrc-blog.microsoft.com\/2021\/12\/11\/microsofts-response-to-cve-2021-44228-apache-log4j2\/<\/a> <\/p>\n\n\n\n

Serveurs Web associ\u00e9s<\/strong><\/p>\n\n\n\n

Tomcat : <\/strong>Pourrait \u00eatre affect\u00e9 selon l\u2019\u00e2ge et la configuration du serveur. Recommandation :<\/strong> effectuer un contr\u00f4le de s\u00e9curit\u00e9 et appliquer les correctifs.<\/strong><\/p>\n\n\n\n

Si vous utilisez le conteneur Docker du fournisseur d\u2019identit\u00e9s Shibboleth<\/strong> \u00e9labor\u00e9 par Internet2 Trusted Access Platform Release<\/a>, mettez la version \u00e0 niveau avec au moins i2incommon\/shib-idp:4.1.4_20211214<\/a> qui int\u00e8gre la v2.16 de Log4J.<\/p>\n\n\n\n

Jetty 9.4 : <\/strong>Vraisemblablement pas affect\u00e9.Recommandation : <\/strong>effectuez un contr\u00f4le de s\u00e9curit\u00e9 par prudence.<\/p>\n\n\n\n

Plateformes IdP sanctionn\u00e9es<\/strong><\/p>\n\n\n\n

Apereo CAS : <\/strong>Versions 6.3+ affect\u00e9es. <\/strong>Recommandations : <\/strong>rem\u00e9dier sur-le-champ aux risques en installant les versions les plus r\u00e9centes (\u00e0 la date de l\u2019avis) pour chaque \u00e9l\u00e9ment de CAS.<\/p>\n\n\n\n