[Obm] Vulnérabilité dans Apache Log4j ?

Simon Elbaz selbaz at linagora.com
Mon Dec 13 17:05:11 CET 2021


Bonjour,

La version log4j utilisée par OBM 3.2.1 est: 1.x.

D'après le lien 
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/, les versions 
log4j 1.x sont exposées en cas d'utilisation de JMSAppender.

OBM 3.2.1 n'utilise pas la technologie JMSAppender, il n'est donc pas 
exposé.

Cordialement


On 13/12/2021 12:34, Frédéric MASSOT wrote:
> Bonjour,
>
> Il y a une faille de sécurité dans Log4j avec une possibilité 
> d'exploitation à distance.
>
> - https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022
> - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
>
> OBM utilise Log4j, mais je ne sais pas si on peut lui passer des 
> données venant de la page de connexion.
>
> Est-ce que OBM 3.2.1 est vulnérable à cette faille de Log4j ?
>
>
> Cordialement.

-- 
Simon Elbaz
@Linagora
Mob: +33 (0) 6 38 99 18 34 / +33 (0) 6 14 99 02 78
Tour Franklin 31ème étage
100/101 Quartier Boieldieu
92042 La Défense
FRANCE



More information about the Obm mailing list