Aller au contenu
Accueil » Faille Log4j2 : pas d’impact sur notre plateforme

Faille Log4j2 : pas d’impact sur notre plateforme

Le 9 décembre 2021, le chercheur en sécurité p0rz9 a publié sur Twitter des informations sur une nouvelle vulnérabilité critique CVE-2021-44228 et CVE-2021-45046 liée à Apache Log4J.

Suite à cela, nous avons vérifié si nous étions touchés par cette faille grâce à la procédure décrite dans l’article: 

https://cyberwatch.fr/cve/cve-2021-44228-log4shell-comment-detecter-et-corriger-cette-vulnerabilite-sur-log4j/

  • la plateforme inclut log4j2 mais uniquement le JAR API pour quelques dépendances tierces
  • la plateforme utilise une autre implémentation de cette API qui ne fait que rediriger les appels de log4j2 vers l’API slf4j
  • la plateforme n’utilise pas log4j2 pour écrire ses fichiers de logs, mais une autre API

En conséquence, la plateforme Ontomantics n’est pas touchée par cette faille Log4Shell car le fichier incriminé n’est pas présent dans la plateforme.