Silverpeas et log4j
Faille de sécurité log4j
Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Le détail de cette faille de sécurité a été publiée le 12 décembre 2021 sur https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/ .
Cette bibliothèque est utilisée par Silverpeas 6.0.x, Silverpeas 6.1.x, Silverpeas 6.2.x et Silverpeas 6.3
La version corrective 2.16.0 de Log4j est déjà intégrée à la version 6.2.2 sortie le 17 décembre 2021 et dans la future version 6.3
Le mieux est de mettre à jour en 6.2.2 mais à défaut :
Voici le mode opératoire pour traiter ce problème sur toutes les versions 6.x :
- Arrêter Silverpeas
Pour atténuer les vulnérabilités, il est possible d’ajouter un paramètre à la JVM :
- Dans le fichier $SILVERPEAS_HOME/configuration/config.properties, décommentez le paramètre JVM_OPTS et le valoriser comme suit (bien garder les valeurs présentes séparées par un espace si il est déjà valorisé..) :
JVM_OPTS=‐Dlog4j2.formatMsgNoLookups=true
- Se mettre dans $SILVERPEAS_HOME/bin et lancer la commande
./silverpeas configure (sous Linux)
silverpeas configure (Sous Windows)
- Démarrer Silverpeas
Note: les versions 5 de Silverpeas ne sont pas concernées par cette faille log4j