Created : November 1st, 2022
On November 1st, two criticals vulnerabilities has been disclosed on OpenSSL 3. We have conducted a check of exposition on our serveurs and services exposed to the internet. No usage of OpenSSL 3.x has been found on our servers and services. Preventive system update (on minor version) has been done nevertheless.
création : 14 Déc 2021
mise à jour : 20 Déc 2021
Suite à la découverte d'une vulnérabilité dans la librairie java de log log4j ce Jeudi 9 Déc 2021, nous avons immédiatement mis en place une série d'actions. pour l'interne, ces travaux sont suivi dans la tâche suivante : #69221 Bilan des actions à date (14 Déc 2021) - nous avons été informé dés Vendredi grâce à nos source d'alertes et nous avons relayé l'information en interne sur les canaux dédiés - nous avons vérifié ou activé des règles sur les WAF (Web Application Firewall) et sur les Loadbalancer pour bloquer les éventuels appels - nous avons dés Vendredi lancé une analyse de nos sources, qui révèlent que : - sur le coeur plateforme, nous ne sommes pas impacté car nous utilisons dans le core Plateforme logback et pas log4j - Il existe un service isolé (le wallet) qui utilise une version vulnérablequi est en cours de patchqui a été patché, mais celui-ci est protégé par le WAF - une action préventive a été mise en place (positionnement de la variable log4j2.formatMsgNoLookups) tout de même sur nos images Docker utilisant Java. - nos pipelines de build se sont vu adjoindre une analyse statique de sécurité supplémentaire, afin d'alerter en cas de présence de vulnérabilité présente ou future. - nous sommes en communication avec nos partenaires sous-traitants pour élargir l'audit aux éléments de leur responsabilité. - nous avons un monitoring renforcé via nos outils d'IDS et d'alerting.
CVE-2021-44228 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228