Corriger des applications qui utilisent la version vulnérable de la bibliothèque Java Log4j pourrait prendre des années, selon un expert.
Les dirigeants en sécurité informatique sont invités à tenir compte des avertissements des équipes nationales d’urgence informatique, des fournisseurs de logiciels et des experts en sécurité informatique concernant une vulnérabilité liée à la journalisation dans Apache, Apple iCloud et d’autres applications commerciales. Les fournisseurs de services gérés sont probablement aussi touchés, selon les experts.
Dans une entrevue, Johannes Ullrich, doyen de la recherche à l’Institut SANS, a prédit qu’il faudra des années à des organisations et à des fournisseurs de capacités infonuagiques pour corriger leurs applications de manière à éliminer cette faille.
Oracle corrige encore certaines de ses applications en raison de différentes vulnérabilités Log4j découvertes il y a plusieurs années, a-t-il souligné.
Arshan Dabirsiaghi, cofondateur et scientifique en chef de Contrast Security, a déclaré que toute application Java qui enregistre des données utilise Log4j.
À son avis, il s’agit du cadre d’applications de journalisation le plus populaire de l’écosystème Java et il est utilisé avec des millions d’applications.
« Ne vous trompez pas, il s’agit de la plus grande vulnérabilité Java que nous ayons vue depuis des années. C’est absolument brutal », a-t-il déclaré.
Lire aussi :
Des sites internet aussi fermés au Canada en raison de la vulnérabilité Log4Shell
Québec et Montréal ferment des services en ligne en raison de la faille Log4Shell
