log4j et Silverpeas
Faille de sécurité log4j
Log4j est une bibliothèque logicielle utilitaire open source développée en langage Java. Elle fait partie de Apache Logging Services, un projet crée par l’Apache Software Foundation. Elle fournit des fonctions permettant de gérer les traces et les historiques d’applications.
Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Le détail de cette faille de sécurité a été publiée le 12 décembre 2021 sur https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/ .
Cette bibliothèque est utilisée par Silverpeas 6.0.x, Silverpeas 6.1.x, Silverpeas 6.2.x et Silverpeas 6.3
La version corrective 2.16.0 de Log4j est déjà intégrée à la version 6.2.2 sortie le 17 décembre 2021 et dans la future version 6.3
Le mieux est de mettre à jour en 6.2.2 mais à défaut :
Voici le mode opératoire pour traiter ce problème sur toutes les versions 6.x :
- Arrêter Silverpeas
Pour atténuer les vulnérabilités, il est possible d’ajouter un paramètre à la JVM :
- Dans le fichier $SILVERPEAS_HOME/configuration/config.properties, décommentez le paramètre JVM_OPTS et le valoriser comme suit (bien garder les valeurs présentes séparées par un espace si il est déjà valorisé..) :
JVM_OPTS=‐Dlog4j2.formatMsgNoLookups=true
- Se mettre dans $SILVERPEAS_HOME/bin et lancer la commande
./silverpeas configure (sous Linux)
silverpeas configure (Sous Windows)
- Démarrer Silverpeas
Note: les versions 5 de Silverpeas ne sont pas concernées par cette faille log4j