- État Fermée
- Pourcentage achevé
- Type Anomalie
- Catégorie Non trié
- Assignée à Personne
- Système d'exploitation Tous
- Sévérité Critique
- Priorité Très Basse
- Basée sur la version 4.5.4
- Due pour la version Non décidée
-
Échéance
Non décidée
- Votes
- Privée
Ouverte par Hellsjoke - 14/12/2021
Dernière modification par mbizon - 14/12/2021
FS#36111 - Vulnérabilité Log4Shell - CVE-2021-44228
Bonjour,
Suite à la publication vendredi dernier de la CVE-2021-44228 par le CERT-FR (https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/), pourriez-vous confirmer que les différentes Freebox ne sont pas concernés et/ou si un patch/workaround a été appliqué, ou est prévu ?
Pour rappel :
Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d'une page d'authentification qui journalise les erreurs d'authentification.
Des preuves de concept ont déjà été publiées
Il serait donc critique que des attaquants puissent accéder au noyau shell de la freebox et donc aux potentielles VM hébergées dessus (dans le cas de la Delta) - notamment si des NextCloud/solution NAS contenant des données privées sont ciblées.
Merci
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
Pas de java dans la box (ouf)