Dernière mise à jour le 20 décembre 2021 à 16 h 00 (heure d'Europe centrale)
Pexip surveille activement les vulnérabilités Log4j dans ses produits et services. Le premier [1] problème a été signalé le vendredi 10 décembre 2021. Un deuxième [2] et un troisième [3] problème ont été signalés le mardi 14 décembre 2021 et le dimanche 19 décembre 2021 respectivement.
Résumé : les services Pexip Infinity et Pexip Private Cloud (l'offre de cloud privé) ne sont pas concernés. Les dépendances de production du service Pexip ont été corrigées et aucune faille n'a été détectée.
Les déploiements Pexip self-hosted et Pexip Private Cloud basés sur la solution Pexip Infinity (y compris les nœuds de gestion et de visioconférence, le connecteur Microsoft Teams et les composants du proxy inverse) et les applications client associées n'utilisent pas la bibliothèque Log4j. Par conséquent, les clients qui hébergent cette solution dans leur environnement ne sont pas concernés par les éventuelles mesures à prendre.
Le service de cloud de Pexip n'utilise pas le composant Log4j directement dans son service de base, mais il l'utilise cependant pour son infrastructure de soutien. Pexip a immédiatement réagi afin d'endiguer la situation en désactivant ce service jusqu'au test et à l'installation de mises à jour. De même, Pexip a immédiatement réagi aux deuxième et troisième problèmes signalés et toutes les infrastructures de soutien concernées ont été mises à jour. Des tentatives pour exploiter la vulnérabilité de Log4j sur l'infrastructure de soutien ont été constatées, mais les preuves criminalistiques indiquent qu'aucune de ces tentatives n'a abouti.
Pour toute question à ce sujet, veuillez contacter l'assistance à l'adresse support@pexip.com ou votre responsable de compte. La sécurité et la fiabilité restent les mots d'ordre de Pexip, car elles sont également de la plus haute importance pour nos partenaires et nos clients.
Cette page sera régulièrement mise à jour avec les nouveaux éléments relatifs à ce dossier.
Références
Easterly, J. (11 décembre 2021), Statement from CISA Director Easterly on Log4j Vulnerability (Déclaration de Mme Easterly, directrice de la CISA, sur la vulnérabilité de Log4j), Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), disponible à l'adresse https://www.cisa.gov/news/2021/12/11/statement-cisa-director-easterly-log4j-vulnerability
Nist.gov. (10 décembre 2021). CVE-2021-44228 Detail (Renseignement CVE-2021-44228). Base de données américaine sur les vulnérabilités (NVD), disponible à l'adresse https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Nist.gov. (14 décembre 2021). CVE-2021-45046 Detail (Renseignement CVE-2021-45046). Base de données américaine sur les vulnérabilités (NVD),
disponible à l'adresse https://nvd.nist.gov/vuln/detail/CVE-2021-45046
Nist.gov. (19 décembre 2021). CVE-2021-45105 Detail (Renseignement CVE-2021-45105). Base de données américaine sur les vulnérabilités (NVD),
disponible à l'adresse https://nvd.nist.gov/vuln/detail/CVE-2021-45105
Notes de bas de page
[1] Le permis de vulnérabilité de Log4j (CVE-2021-44228) a authentifié l'exécution d'un code à distance (RCE) sur toutes les applications Java exécutant une version vulnérable de Log4j 2 d'Apache. Il représente un risque majeur pour les applications utilisant cette version, car il permet l'accès non autorisé ou le contrôle complet des systèmes lorsqu'il est exploité correctement.
[2] Dans certains cas, le problème de l'atténuation limitée de Log4j (CVE-2021-45046) invalide les précédentes atténuations. Ces vulnérabilités ont été réparées dans la version Log4j 2.16.0.
[3] Le problème relatif au Log4j DDoS (CVE-2021-45105) a permis de détecter une vulnérabilité concernant la consultation de récurrences incontrôlées pouvant entraîner un déni de service. Il a été atténué dans la version Log4j 2.17.0.