Silverpeas et log4j

21 décembre 2021

Faille de sécurité log4j

Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Le détail de cette faille de sécurité a été publiée le 12 décembre 2021 sur https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/ .

Cette bibliothèque est utilisée par Silverpeas 6.0.x, Silverpeas 6.1.x, Silverpeas 6.2.x et Silverpeas 6.3

La version corrective 2.16.0 de Log4j est déjà intégrée à la version 6.2.2 sortie le 17 décembre 2021 et dans la future version 6.3

Le mieux est de mettre à jour en 6.2.2 mais à défaut :

Voici le mode opératoire pour traiter ce problème sur toutes les versions 6.x :

Arrêter Silverpeas

Pour atténuer les vulnérabilités, il est possible d’ajouter un paramètre à la JVM :

Dans le fichier $SILVERPEAS_HOME/configuration/config.properties, décommentez le paramètre JVM_OPTS et le valoriser comme suit (bien garder les valeurs présentes séparées par un espace si il est déjà valorisé..) :JVM_OPTS=‐Dlog4j2.formatMsgNoLookups=true

Se mettre dans $SILVERPEAS_HOME/bin et lancer la commande

./silverpeas configure (sous Linux)

silverpeas configure (Sous Windows)

Démarrer Silverpeas

Note: les versions 5 de Silverpeas ne sont pas concernées par cette faille log4j

L	M	M	J	V	S	D
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31