- Administration ouverte
- Données ouvertes et transparence
- Gouvernement ouvert
- Innovation
Amélioration continue de l’Indice de Maturité Digitale : comment avancer ?
Une vulnérabilité affectant la Java Apache Log Library a été publiée le 10 décembre 'Log4j 2', un outil développé par la Fondation Apache qui aide les développeurs de logiciels à écrire des messages de journal dont le but est d'enregistrer une transaction particulière au moment de l'exécution. De plus, Log4j vous permet de filtrer les messages par importance.
'Log4j 2' est un système d'enregistrement très courant utilisé par les développeurs d'applications Web et les serveurs basés sur Java et d'autres langages de programmation. Par conséquent, la vulnérabilité affecte un large éventail de services et d'applications, y compris les applications commerciales et les services cloud.
Le danger posé par cette vulnérabilité est que l'on l'attaquant peut exploser-envoyer un code malveillant qui finira par être enregistré par Log4j et donner à l'attaquant l'accès au système, ce qui sera capable d'exécuter du code à distance.
Actions
Le CCN-CERT a émis une alerte le 10 décembre avec un indicateur de niveau critique de danger, après que la vulnérabilité soit devenue connue lorsqu'elle a été signalée par un ingénieur en cybersécurité sur github le 9 décembre, avec plusieurs vagues de recommandations les 10 et 13 décembre.
Pour prendre les mesures de vérification, de confinement et d'éradication jugées appropriées, l'Agence catalane de cybersécurité propose une série de recommandations qui sont incluses dans le Bulletin de cybersécurité « Vulnérabilités Log4J ».
Le SGAD, en relation avec ses propres systèmes, a identifié les systèmes et applications concernés et a adopté des mesures d'atténuation prioritaires, des mises à jour et des ajustements de configuration. La SGAD s'est adressée aux interlocuteurs du COCS-CDTIC pour demander l'application des recommandations indiquées par le CCN-CERT pour atténuer la vulnérabilité et pour que la SGAD soit informée des actions entreprises.