Le 9 décembre dernier, Apache a publié une vulnérabilité zero-day (CVE-2021-44228) pour Apache Log4j appelée « Log4Shell ». Cette vulnérabilité a été classée comme « Critique » avec un score CVSS de 10.0, permettant l’exécution de code à distance avec des privilèges au niveau du système.

Lorsqu’elle est exploitée, cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire sur l’appareil, donnant un contrôle total à l’attaquant. Tout appareil exploité doit être considéré comme compromis, ainsi que tout appareil ayant fait confiance à l’appareil compromis.

Les équipes e-Xpert ont investigué les produits développées par nos soins pour identifier l’impact de cette vulnérabilité pour nos clients. Les produits et composants suivants ne sont PAS concernés par cette vulnérabilité:

• Device Manager
• Analytics tool for APM (Insight)
• SSLCert
• Esas
• Account
• IP Reputation

Toute l’équipe se tient à disposition pour toute demande d’information.

Update 16.12.2021 : Les produits développés par e-Xpert Solutions n’implémentent pas Java. Nos produits ne sont non plus pas impactés par les vulnérabilités CVE-2021-4104 et CVE-2021-45046