Silverpeas et log4j

21 décembre 2021

Faille de sécurité log4j

Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Le détail de cette faille de sécurité a été publiée le 12 décembre 2021 sur https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/ .

Cette bibliothèque est utilisée par Silverpeas 6.0.x, Silverpeas 6.1.x, Silverpeas 6.2.x et Silverpeas 6.3

La version corrective 2.16.0 de Log4j est déjà intégrée à la version 6.2.2 sortie le 17 décembre 2021 et dans la future version 6.3

Le mieux est de mettre à jour en 6.2.2 mais à défaut :

Voici le mode opératoire pour traiter ce problème sur toutes les versions 6.x :

Arrêter Silverpeas

Pour atténuer les vulnérabilités, il est possible d’ajouter un paramètre à la JVM :

Dans le fichier $SILVERPEAS_HOME/configuration/config.properties, décommentez le paramètre JVM_OPTS et le valoriser comme suit (bien garder les valeurs présentes séparées par un espace si il est déjà valorisé..) :JVM_OPTS=‐Dlog4j2.formatMsgNoLookups=true

Se mettre dans $SILVERPEAS_HOME/bin et lancer la commande

./silverpeas configure (sous Linux)

silverpeas configure (Sous Windows)

Démarrer Silverpeas

Note: les versions 5 de Silverpeas ne sont pas concernées par cette faille log4j

L	M	M	J	V	S	D
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Cookie	Durée	Description
__cfruid	session	Cloudflare définit ce cookie pour identifier le trafic Web de confiance. Cloudflare sets this cookie to identify trusted web traffic.
_GRECAPTCHA	5 months 27 days	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes. This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité". Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics". Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	Le cookie est défini par le plugin GDPR Cookie Consent pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Fonctionnel". The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire". Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Défini par le plug-in GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Autres". Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance". Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Enregistre l'état du bouton par défaut de la catégorie correspondante et l'état du CCPA. Il fonctionne uniquement en coordination avec le cookie principal.

Cookie	Durée	Description
_ga	2 years	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques. The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_NN9VBM67DQ	2 years	Ce cookie est installé par Google Analytics. This cookie is installed by Google Analytics.
_gat_gtag_UA_2015926_1	1 minute	Défini par Google pour distinguer les utilisateurs. Set by Google to distinguish users.
_gcl_au	3 months	Fourni par Google Tag Manager pour expérimenter l'efficacité publicitaire des sites Web utilisant leurs services. Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme. Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube définit ce cookie via des vidéos YouTube intégrées et enregistre des données statistiques anonymes. YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies. The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur. A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube. YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur à l'aide de la vidéo YouTube intégrée. YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur à l'aide de la vidéo YouTube intégrée. YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.