Problématique :
Le 9 décembre 2021, une vulnérabilité d’exécution de code à distance (RCE) dans Apache log4j 2 a été identifiée comme étant exploitée dans la nature. Un code public de Proof of Concept (PoC) a été publié et une enquête ultérieure a révélé que l'exploitation était incroyablement facile à réaliser.

• En savoir plus : ‘Extremely bad’ vulnerability found in widely used logging system - The Verge

Déclaration de Act!
La Fondation Apache a récemment annoncé que Log4j, une bibliothèque de journalisation Java populaire, est vulnérable à l’exécution de code à distance. Immédiatement après l’annonce de cette grave vulnérabilité, nos équipes de développement et de sécurité ont évalué l’ensemble de nos produits, intégrations et services internes pour déterminer tout impact potentiel. Nous n’avons détecté aucune tentative d’exploitation de nos systèmes. Nous avons effectué une vérification de nos systèmes et ne croyons pas que cet exploit représente une menace pour nos clients.

Il est à noter que le "j" dans Log4j signifie "Java", et Act! lui-même n’utilise pas les composants java (pas Javascript que nous utilisons pour le client Web ainsi que c#/.net), il est donc peu probable que nous sommes affectés. Bien sûr, nous continuerons de surveiller notre environnement et d’informer nos clients et partenaires à mesure que nous en apprenons davantage.

Déclaration de Keystroke :
Depuis que la vulnérabilité a été découverte pour la première fois le 9 décembre, nous avons consulté tous nos développeurs actuels pour déterminer si les fichiers de bibliothèque open-source impliqués dans la vulnérabilité Log4Shell ont été utilisés dans des projets passés ou présents. Après une vérification approfondie, nous avons déterminé qu’aucun des modules complémentaires produits au cours des 4 dernières années n’utilise de composants Java ou un logiciel de journalisation Log4j open source.

De plus, notre examen du code de Handheld Contact portait sur le logiciel de l’appareil, la console Windows et les services mware hébergés utilisés pour traiter la synchronisation avec la version Classic. Cet examen a conclu que les fichiers de journalisation open-source n’ont jamais été utilisés dans les applications des appareils mobiles et Windows, et que les fichiers de bibliothèque log4j précédemment utilisés avec mware ont été remplacés par java.util.Logging il y a plus de quatre ans.

À l’heure actuelle, nous avons conclu qu’aucun des produits ou services que nous offrons ne devrait être affecté, mais nous fournissons d’autres déclarations si des événements futurs le justifiaient.