Une vulnérabilité critique récemment révélée affectant Apache Log4j a été divulguée et enregistrée en tant que CVE-2021-44228. Log4j est un utilitaire de journalisation open source basé sur Java largement utilisé par les applications d’entreprise et les services cloud. En exploitant cette vulnérabilité, un attaquant distant pourrait prendre le contrôle du système affecté.

Nous tenons à assurer à tous les utilisateurs que le coeur de GLPI et ses plugins, écrits en PHP et n’utilisant pas Log4j, ne sont pas affectés par la vulnérabilité Log4Shell.

L’exploitation de cette vulnérabilité nécessite une machine virtuelle Java et la classe Java org.apache.logging.log4j.core.lookup.JndiLookup dans une version vulnérable. Aucun d’entre eux n’est inclus ou utilisé dans les distributions GLPI officielles.

Nous pouvons également vous assurer que :

  • GLPI Android Agent (écrit en Java), n’utilise pas la librairie log4j, et n’est donc pas affecté par la vulnérabilité Log4Shell
  • GLPI Agent (écrit en Perl), pas affecté par la vulnérabilité Log4Shell

Attention : cela n’empêche pas les couches/outils potentiellement en amont de GLPI (reverse-proxy, firewall, etc.), ou connectés à GLPI, dont nous n’avons pas connaissance dans votre contexte, d’être potentiellement impactés.

Par exemple, si vous avez un serveur Metabase connecté à GLPI, vous devez noter que Metabase (<0.41.4) est affecté par la vulnérabilité, et vous devriez donc le mettre à jour dès que possible !

Documentation:

  • https://github.com/advisories/GHSA-jfh8-c2jp-5v3q
  • https://github.com/NCSC-NL/log4shell/tree/main/software
  • https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/