[Linux] Faille « Log4Shell » : bonne version de log4j ?
Éric Bischoff
eric.bischoff.fr@::1
Lun 27 Déc 12:26:39 CET 2021
Le dimanche 26 décembre 2021, 16:43:21 CET François DREYFÜRST a écrit :
> Bonjour la liste
>
> Après avoir consciencieusement fait au fur et à mesure les différentes
> mises à jour de ma Debian 11, il apparaît que sur mon ordi est installée
> la version 2.17 de la bibliothèque log4j.
> D'après ce que j'ai vu sur le Net, ça devrait être celle qui fixe le
> problème de la faille « Log4Shell » ; est-ce que vous confirmez ou
> dois-je par prudence désinstaller cette bibliothèque (et tant pis pour
> les quelques dépendances qui partiraient avec) ?
Salut François,
D'après https://logging.apache.org/log4j/2.x/security.html , les versions qui
corrigent le souci "log4shell" sont :
CVE-2021-44228: Apache Log4j2 JNDI features do not protect against attacker
controlled LDAP and other JNDI related endpoints.
Upgrade to Log4j 2.3.1 (for Java 6), 2.12.3 (for Java 7), or 2.17.0 (for
Java 8 and later).
Cela dépend donc de la version de ton Java. Je suppose que tu as Java 8 et que
donc ta version 2.17 de la bibliothèque log4j est corrigée.
Cordialement,
--
Éric Bischoff
Plus d'informations sur la liste de diffusion linux