Y a-t-il une parade, log4j sera-t-il mis Í jour dans les dépÍ´ts *ux ?
Sur ma debian je peux voir que je ne l'ai pas (je parle de Log4J, donc a
priori aussi de log4shell, mais comment vérifier ?), et sur mon
téléphone ???
--
Comme toute science, la mathématique ne peut être construite sur la
seule logique.
-+- David Hilbert, Les fondements des mathématiques -+-
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Marc SCHAEFER
Jo Engo wrote:
Un exploit qui peut faire des dégÍ¢ts : Log4shell
Si on a du Java installé. J'ai fait le tour de mes serveurs de production, pas de runtime Java du tout.
Y a-t-il une parade, log4j sera-t-il mis Í jour dans les dépÍ´ts *ux ?
Oui, Debian a déjÍ fait plusieurs mises Í jour (Í voir ce n'est pas facile).
priori aussi de log4shell, mais comment vérifier ?), et sur mon téléphone ???
Ah, évidemment, un téléphone est un nid Í Java. D'autant plus que dans le monde Java on aime livrer l'ensemble des dépendances sous forme d'un zip, donc il ne suffit pas de mettre Í jour la dépendance, encore faut-il ouvrir tous les zip, mettre Í jour, etc. Un peu le problème du Flatpak ou autres formats `auto-contenus' sous OS standard.
Jo Engo <yl@icite.fr> wrote:
Un exploit qui peut faire des dégÍ¢ts : Log4shell
Si on a du Java installé. J'ai fait le tour de mes serveurs de
production, pas de runtime Java du tout.
Y a-t-il une parade, log4j sera-t-il mis Í jour dans les dépÍ´ts *ux ?
Oui, Debian a déjÍ fait plusieurs mises Í jour (Í voir ce n'est pas
facile).
priori aussi de log4shell, mais comment vérifier ?), et sur mon
téléphone ???
Ah, évidemment, un téléphone est un nid Í Java.
D'autant plus que dans le monde Java on aime livrer l'ensemble des
dépendances sous forme d'un zip, donc il ne suffit pas de mettre Í jour
la dépendance, encore faut-il ouvrir tous les zip, mettre Í jour, etc.
Un peu le problème du Flatpak ou autres formats `auto-contenus' sous OS
standard.
Si on a du Java installé. J'ai fait le tour de mes serveurs de production, pas de runtime Java du tout.
Y a-t-il une parade, log4j sera-t-il mis Í jour dans les dépÍ´ts *ux ?
Oui, Debian a déjÍ fait plusieurs mises Í jour (Í voir ce n'est pas facile).
priori aussi de log4shell, mais comment vérifier ?), et sur mon téléphone ???
Ah, évidemment, un téléphone est un nid Í Java. D'autant plus que dans le monde Java on aime livrer l'ensemble des dépendances sous forme d'un zip, donc il ne suffit pas de mettre Í jour la dépendance, encore faut-il ouvrir tous les zip, mettre Í jour, etc. Un peu le problème du Flatpak ou autres formats `auto-contenus' sous OS standard.
Jo Engo
Le Tue, 28 Dec 2021 09:19:54 -0000 (UTC), Marc SCHAEFER a écrit :
Y a-t-il une parade, log4j sera-t-il mis Í jour dans les dépÍ´ts *ux ?
Oui, Debian a déjÍ fait plusieurs mises Í jour (Í voir ce n'est pas facile).
Vu que je n'ai pas d'application web (opértionnelle), j'ai viré tout ce qui s'appellait log4j sans problème de dépendance : c'etait installé pour faire joli, ou quoi ? -- W W W W W W Wow! What a Woman! W W W (nine pairs of breasts!) -- Breton, J.C.
Le Tue, 28 Dec 2021 09:19:54 -0000 (UTC), Marc SCHAEFER a écrit :
Y a-t-il une parade, log4j sera-t-il mis Í jour dans les dépÍ´ts *ux ?
Oui, Debian a déjÍ fait plusieurs mises Í jour (Í voir ce n'est pas
facile).
Vu que je n'ai pas d'application web (opértionnelle), j'ai viré tout ce
qui s'appellait log4j sans problème de dépendance : c'etait installé pour
faire joli, ou quoi ?
--
W W W
W W W Wow! What a Woman!
W W W (nine pairs of breasts!)
-- Breton, J.C.
Le Tue, 28 Dec 2021 09:19:54 -0000 (UTC), Marc SCHAEFER a écrit :
Y a-t-il une parade, log4j sera-t-il mis Í jour dans les dépÍ´ts *ux ?
Oui, Debian a déjÍ fait plusieurs mises Í jour (Í voir ce n'est pas facile).
Vu que je n'ai pas d'application web (opértionnelle), j'ai viré tout ce qui s'appellait log4j sans problème de dépendance : c'etait installé pour faire joli, ou quoi ? -- W W W W W W Wow! What a Woman! W W W (nine pairs of breasts!) -- Breton, J.C.
Marc SCHAEFER
Jo Engo wrote:
Vu que je n'ai pas d'application web (opértionnelle), j'ai viré tout ce qui s'appellait log4j sans problème de dépendance : c'etait installé pour faire joli, ou quoi ?
Il se peut aussi qu'une application Desktop Java l'utilise. Le plus simple serait de désinstaller le runtime Java complet, de manière Í ce que la commande java ne marche plus.
Jo Engo <yl@icite.fr> wrote:
Vu que je n'ai pas d'application web (opértionnelle), j'ai viré tout ce
qui s'appellait log4j sans problème de dépendance : c'etait installé pour
faire joli, ou quoi ?
Il se peut aussi qu'une application Desktop Java l'utilise.
Le plus simple serait de désinstaller le runtime Java complet, de
manière Í ce que la commande java ne marche plus.
Vu que je n'ai pas d'application web (opértionnelle), j'ai viré tout ce qui s'appellait log4j sans problème de dépendance : c'etait installé pour faire joli, ou quoi ?
Il se peut aussi qu'une application Desktop Java l'utilise. Le plus simple serait de désinstaller le runtime Java complet, de manière Í ce que la commande java ne marche plus.
Jo Engo
Le 28 Dec 2021 15:16:35 GMT, Nicolas George a écrit :
Si l'application n'est pas exposée au réseau, il n'y a pas de risque.
J'aurais dÍ» creuser ça plus profondément. En fait il semblerait que si, mais je n'ai pas lu comment. -- L'homme n'est qu'un roseau, le plus faible de la nature ; mais c'est un roseau pensant. -+- Blaise Pascal (1623-1662), Pensées VI.347 -+-
Le 28 Dec 2021 15:16:35 GMT, Nicolas George a écrit :
Si l'application n'est pas exposée au réseau, il n'y a pas de risque.
J'aurais dÍ» creuser ça plus profondément. En fait il semblerait que si,
mais je n'ai pas lu comment.
--
L'homme n'est qu'un roseau, le plus faible de la nature ;
mais c'est un roseau pensant.
-+- Blaise Pascal (1623-1662), Pensées VI.347 -+-
Le 28 Dec 2021 15:16:35 GMT, Nicolas George a écrit :
Si l'application n'est pas exposée au réseau, il n'y a pas de risque.
J'aurais dÍ» creuser ça plus profondément. En fait il semblerait que si, mais je n'ai pas lu comment. -- L'homme n'est qu'un roseau, le plus faible de la nature ; mais c'est un roseau pensant. -+- Blaise Pascal (1623-1662), Pensées VI.347 -+-