[Linux] Faille « Log4Shell » : bonne version de log4j ?

Éric Bischoff eric.bischoff.fr@::1
Lun 27 Déc 12:26:39 CET 2021


Le dimanche 26 décembre 2021, 16:43:21 CET François DREYFÜRST a écrit :
> Bonjour la liste
> 
> Après avoir consciencieusement fait au fur et à mesure les différentes
> mises à jour de ma Debian 11, il apparaît que sur mon ordi est installée
> la version 2.17 de la bibliothèque log4j.
> D'après ce que j'ai vu sur le Net, ça devrait être celle qui fixe le
> problème de la faille « Log4Shell » ; est-ce que vous confirmez ou
> dois-je par prudence désinstaller cette bibliothèque (et tant pis pour
> les quelques dépendances qui partiraient avec) ?

Salut François,


D'après https://logging.apache.org/log4j/2.x/security.html , les versions qui 
corrigent le souci "log4shell" sont :

  CVE-2021-44228: Apache Log4j2 JNDI features do not protect against attacker
  controlled LDAP and other JNDI related endpoints.

  Upgrade to Log4j 2.3.1 (for Java 6), 2.12.3 (for Java 7), or 2.17.0 (for
  Java 8 and later).

Cela dépend donc de la version de ton Java. Je suppose que tu as Java 8 et que 
donc ta version 2.17 de la bibliothèque log4j est corrigée.


Cordialement,


-- 
Éric Bischoff




Plus d'informations sur la liste de diffusion linux