Silverpeas et log4j

Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Le détail de cette faille de sécurité a été publiée le 12 décembre 2021 sur https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/ .

Cette bibliothèque est utilisée par Silverpeas 6.0.x, Silverpeas 6.1.x, Silverpeas 6.2.x et Silverpeas 6.3

La version corrective 2.16.0 de Log4j est déjà intégrée à la version 6.2.2 sortie le 17 décembre 2021 et dans la future version 6.3

Le mieux est de mettre à jour en 6.2.2 mais à défaut :

Voici le mode opératoire pour traiter ce problème sur toutes les versions 6.x :

• Arrêter Silverpeas

Pour atténuer les vulnérabilités, il est possible d’ajouter un paramètre à la JVM :

• Dans le fichier $SILVERPEAS_HOME/configuration/config.properties, décommentez le paramètre JVM_OPTS et le valoriser comme suit (bien garder les valeurs présentes séparées par un espace si il est déjà valorisé..) :
JVM_OPTS=‐Dlog4j2.formatMsgNoLookups=true

• Se mettre dans $SILVERPEAS_HOME/bin et lancer la commande
  
  ./silverpeas configure  (sous Linux)


silverpeas configure (Sous Windows)

• Démarrer Silverpeas

Note: les versions 5 de Silverpeas ne sont pas concernées par cette faille log4j