Silverpeas et log4j

21 décembre 2021

Faille de sécurité log4j

Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Le détail de cette faille de sécurité a été publiée le 12 décembre 2021 sur https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/ .

Cette bibliothèque est utilisée par Silverpeas 6.0.x, Silverpeas 6.1.x, Silverpeas 6.2.x et Silverpeas 6.3

La version corrective 2.16.0 de Log4j est déjà intégrée à la version 6.2.2 sortie le 17 décembre 2021 et dans la future version 6.3

Le mieux est de mettre à jour en 6.2.2 mais à défaut :

Voici le mode opératoire pour traiter ce problème sur toutes les versions 6.x :

Arrêter Silverpeas

Pour atténuer les vulnérabilités, il est possible d’ajouter un paramètre à la JVM :

Dans le fichier $SILVERPEAS_HOME/configuration/config.properties, décommentez le paramètre JVM_OPTS et le valoriser comme suit (bien garder les valeurs présentes séparées par un espace si il est déjà valorisé..) :JVM_OPTS=‐Dlog4j2.formatMsgNoLookups=true

Se mettre dans $SILVERPEAS_HOME/bin et lancer la commande

./silverpeas configure (sous Linux)

silverpeas configure (Sous Windows)

Démarrer Silverpeas

Note: les versions 5 de Silverpeas ne sont pas concernées par cette faille log4j

L	M	M	J	V	S	D
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31