Les informations de cette page sont amenées à évoluer. Chaque acteur étant en cours d’investigation sur sa partie, nous la mettrons à jour en fonction des informations que nous recevons au fil du temps.
Première rédaction 13/12/2021
Edité le 4/01/2022 10:46:21
Ce que c’est
Log4J est un module Java issu du consortium Apache (un gros acteur du monde Open Source).
Il permet de gérer les logs (le journal des événements) dans des serveurs web.
Cette librairie est utilisée par des millions de projets et de serveurs dans le monde.
La faille
Découverte par un employé d’Alibaba (Chine), la faille entraine, que, dans certaines conditions, ce module permet à un pirate d’exécuter du code (lancer un programme) dans l’ordinateur utilisant cette librairie.
Certains disent que cette faille est la plus grosse découverte depuis l’histoire d’internet.
Qui peut l’exploiter
Cette faille pourrait être utilisée entre autres choses pour porter préjudice à un serveur, un utilisateur, ses données (vol de données, demandes de rançons par cryptoransomware etc). Mais aussi pour injecter un code malicieux afin d’utiliser les ressources d’ordinateurs sans l’autorisation des propriétaires (typiquement pour miner des bitcoins).
Qui est impacté
Potentiellement, tout utilisateur d’un serveur web peut être impacté si dans une des couches de sa structure, un outil s’appuyait sur cet outil de log.
Pour s’assurer d’un retour à une situation stable et sereine, il reviendra à chaque utilisateur, hébergeur, programmeur de s’assurer, dans sa couche de compétences et de responsabilité, qu’elle n’utilise pas ce module ce qui peut représenter un travail parfois complexe.
Communications de Apache
Tout utilisateur de Java, pour commencer à contrer le problème doit mettre à jour sa version de Java. Dans sa configuration par défaut, la version 8u121 du JRE protège de l’exploitation de la faille.
Block JNDI from making requests to untrusted servers. If you can’t update, but you’re using Log4j 2.10.0 or later, you can set the configuration value log4j2.formatMsgNoLookups to true, which prevents LDAP and similar queries from going out in the first place.
Check the Java runtime that you’re using. The underlying build of Java that you have may prevent this bug from triggering based on its own default configuration. For example, Apache explicitly lists Oracle Java 8u121 as providing protection against this RCE.
La dernière version « general licence » de JAVA est disponible ici (ce n’est pas la dernière Update). La dernière version de OpenJDK 8u262 est disponible ici
Quelle est la situation de FileMaker Serveur
Le serveur
Les équipes de Claris sont encore en cours de tests sur différentes versions / serveurs etc.
Leur position officielle est mise à jour sur cette page
Retour Officiel de Claris FileMaker
(édité le 16/12/2021 11:08:35)
Are Claris products affected?
| Claris product | Claris product version | Log4j version | Affected? |
| Claris Connect® | All versions | Not installed | Not affected |
| Claris FileMaker Cloud® | All versions | Not installed | Not affected |
| Claris FileMaker Server® | 16.x | 1.2.15 | Not affected |
| FileMaker Server | 17.x | 1.2.15 | Not affected |
| FileMaker Server | 18.x | Not installed | Not affected |
| FileMaker Server | 19.x | Not installed | Not affected |
| Claris FileMaker Pro® | All versions | Not installed | Not affected |
| Claris FileMaker Go® | All versions | Not installed | Not affected |
Retours de la communauté
D’après : https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
La commande PowerShell suivante permet de rechercher la vulnérabilité sur Windows :
gci ‘C:\’ -rec -force -include *.jar -ea 0 | foreach {select-string “JndiLookup.class” $_} | select -exp Path
Si elle est juste, les versions par défaut de FileMaker Serveur 16, 17, 18 et 19 ne présentent pas la faille
La bonne pratique
A l’heure actuelle :
La meilleure chose à faire serait : Si vous avez
-> Java 8 update 121 ou une version plus récente de JRE8 sur un serveur FileMaker Server 18 ou 19.1
-> Java 11.01 (ou une version plus récente de JRE11) sur FIleMaker Server 19.2+
alors votre version de java ne devrait pas être susceptible à la faille
Sinon :
-> mettez à jour FileMaker Serveur vers la dernière version
-> ou au minimum mettez à jour Java sur vos serveurs
–> mettez à jour FileMaker Serveur vers la dernière version
(voir la source ici)
Les plugins et les modules externes
Chaque éditeur de plugin (modules additionnels qu’un projet FileMaker peut recevoir) va devoir mener ses investigations. A ce jour, les positions officielles que nous avons reçues sont :
MBS FileMaker Plugin
Apparemment
“does not use Java unless you ask it to.”
360Works
“they don’t use Log4j in any of their products, and that they don’t run a webserver that would accept external connections”
“(edit 16/12/2021 10:44:04) Sauf pour Plastic : https://static.360works.com/plugins/CREDITCARDPLUG/changelog.txt « Plastic looks to have been vulnerable to Log4shell, and a patched version (v3.2201) was released on December 11”
Notre conseil quoi qu’il en soit
Vérifiez aussi que tous vos autres outils sont à jour (Système d’exploitation, outils tiers etc)
Cas particulier d’un serveur FileMaker
Vérifiez si vous travaillez sur une version à jour de FileMaker Serveur.
Que vous soyez en Cloud ou en hébergement Local, il vous revient de vous assurer que votre version de l’outil soit à jour et corresponde à votre besoin.
Pour mémoire, la liste des versions actuellement maintenues (recevant les mises à jour des failles critiques) est disponible ici : https://support.claris.com/s/article/Politique-de-support-Claris?language=fr
Avant de faire une mise à jour il faut vous assurer que votre parc de machines clientes pourront aussi accéder à la dernière version du serveur. Les compatibilités à assurer sont :
– que chaque logiciel client FileMaker Pro puisse accéder au Serveur mis à jour (généralement un serveur est compatible avec la version précédente ou les 2 dernières versions du client FileMaker Pro). Les documentations peuvent être trouvées ici pour les dernières versions principales :
FileMaker Server 19 host and client compatibility
FileMaker Server 18 host and client compatibility
FileMaker Server 17 host and client compatibility
FileMaker Server 16 host and client compatibility
FileMaker Server 15 host and client compatibility
– si vous devez mettre à jour un(des) poste(s) client(s), il faut s’assurer que la version de FileMaker Pro soit bien compatible avec le système d’exploitation du poste : la liste complète de compatibilité est disponible ici :
https://support.claris.com/s/article/FileMaker-Pro-operating-system-requirements-all-versions-1503692917754?language=en_US
N’hésitez pas à nous contacter pour que nous fassions un audit personnalisé avec vous de votre situation et des remédiations possibles.