Bonjour,

Tentons de reprendre le cours normal de ce thread : j'ai passé la journée d'hier à tenter d'exploiter la faille sur des trucs 'legacy' justement un peu partout et j'ai été très surpris de la faible surface d'attaque que nous avons par rapport aux cris d’orfraies que j'ai pu lire et ici là.

Alors, on a très peu de trucs en Java, langage que je fuis depuis quelques années déjà par respect pour la RAM de mes machines mais en gros, à part Graylog, rien vu à mettre à jour en urgence.

Zimbra, pas touché
Puppet, pas touché
Big Blue Button, pas touché

Unifi est touché à priori mais je n'ai pas réussi à l'exploiter avant de passer -Dlog4j2.formatMsgNoLookups=true

Si quelqu'un veut un test d'exploitation sur un service vulnérable, j'ai un bout de script qui se contente de faire un 'touch /tmp/pwned'

Bonne journée,

Julien

Le 13/12/2021 à 15:18, Seb Astien a écrit :

Qui n'a plus de legacy de nos jours ?

Le lun. 13 déc. 2021 à 14:54, Vincent Habchi <vincent@geomag.fr> a écrit :

> On 13 Dec 2021, at 13:18, David Ponzone <david.ponzone@gmail.com> wrote:
>
> Pour ceux qui l’auraient raté:

Qui utilise encore Apache de nos jours ?

V.

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/