Informatique

Log4j : les principaux fournisseurs s’empressent de corriger

Log4j : les principaux fournisseurs s'empressent de corriger les failles


La période des fêtes de fin d’année s’annonce chargée pour ceux qui appliquent des correctifs aux systèmes touchés par la faille critique de la bibliothèque de journalisation Java Log4j.


IBM a confirmé que plusieurs de ses principaux produits d’entreprise sont affectés par le bug Log4j. En début de mois, la société a confirmé que son outil IBM Db2 Warehouse, qui utilise Log4j, permettait à un attaquant distant d’exécuter un code arbitraire sur le système. Log4j est utilisé dans la fonction Db2 Federation. IBM a publié un pack de correctifs spéciaux et des mesures d’atténuation pour les systèmes Db2 version 11.5 qui sont vulnérables si certaines fonctionnalités sont configurées.


IBM a publié des correctifs Log4j pour plus d’une douzaine de produits cloud, couvrant la sécurité et l’identité, l’analyse, les bases de données, les services VMware gérés et les produits Watson AI. La société a également publié des correctifs pour 20 produits IBM sur site, notamment Cognos business intelligence, Power hardware, WebSphere et Watson.


IBM met continuellement à jour la liste des produits affectés par la faille et ceux dont elle a confirmé qu’ils n’étaient pas affectés.


Des dizaines de produits Cisco sont également affectés par Log4j. Cisco a publié de nombreuses mises à jour de micrologiciels et de correctifs pour corriger la faille.


Les produits pour lesquels des mises à jour ont été publiées sont les suivants : Cisco Identity Services Engine, DNA Spaces Connector, Cisco BroadWorks et Cisco Finesee. Des mises à jour ont également été publiées pour plusieurs autres produits, notamment Cisco Contact Center Domain Manager (CCDM), Cisco IOx Fog Director, Cisco Contact Center Management Portal (CCMP), Cisco Unified Communications Manager / Cisco Unified Communications Manager Session Management Edition, Cisco Video Surveillance Operations Manager et Cisco Connected Mobile Experiences (CMX).


VMware met également à jour sa liste de produits affectés, dont la plupart sont considérés comme « critiques » avec un score de gravité CVSS de 10 sur 10. Si de nombreux correctifs ont été publiés par l’éditeur, certains produits attendent encore leur patch. Lorsque les correctifs ne sont pas disponibles, VMware met à jour ses mesures d’atténuation recommandées afin de prendre en compte les mises à jour traitées par la version 2.16 de Log4j de la Fondation Apache, qui corrige le correctif incomplet publié initialement la semaine dernière.


VMware avait plus de 100 produits affectés par le bug connu sous le nom de Log4Shell, et identifié comme CVE 2021-44228.


Mais le géant de la virtualisation a également publié un correctif pour corriger une vulnérabilité critique non-Log4j Server Side Request Forgery (SSRF) dans sa console Workspace ONE Unified Endpoint Management (UEM).


Identifiée sous le nom de CVE-2021-22054, cette faille permettrait à un attaquant ayant un accès réseau à l’UEM d' »envoyer ses requêtes sans authentification et d’exploiter ce problème pour accéder à des informations sensibles », selon l’avis de VMware.


La vulnérabilité a obtenu un score CVSS de 9,1 sur 10. Le bug affecte les versions 2105, 2012, 2011 et 2008 de la console UEM Workspace ONE.


L’Agence pour la cybersécurité et la sécurité des infrastructures et la Maison Blanche ont mis en garde les organisations américaines contre les cyberattaques pendant la période des fêtes. Les cybercriminels lancent fréquemment des attaques de ransomware majeures les jours fériés pour profiter des effectifs réduits.


Le CISA a publié une liste de fournisseurs et de produits affectés par la faille Log4Shell. L’agence néerlandaise de cybersécurité met également à jour une liste de produits et de fournisseurs affectés, qu’elle a publiée en début de semaine.


Source : « ZDNet.com »




Source link

Articles similaires

Bouton retour en haut de la page