- Communauté Orange
- ➔
- internet & fixe
- ➔
- securité
- ➔
- Re: log4j : ma livebox est-elle concernée ?
Vous avez une question ?
Interrogez la communautélog4j : ma livebox est-elle concernée ?
- S'abonner au fil RSS
- Marquer le sujet comme nouveau
- Marquer le sujet comme lu
- Placer ce Sujet en tête de liste pour l'utilisateur actuel
- Marquer
- S'abonner
- Page imprimable
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
log4j : ma livebox est-elle concernée ?
Bonjour,
récemment, une série de failles géantes appelée log4j ou log4shell a fait la une de la presse spécialisée (si vous n'en avez pas encore entendu parler, voilà un article : https://securite.developpez.com/actu/329844/Une-quatrieme-vulnerabilite-decouverte-dans-la-bibliothe... )
J'aimerais savoir si les livebox sont concernées et si orange a déjà installé à distance les correctifs nécessaires.
Comment puis-je vérifier moi-même si ma box est protégée ?
Livebox 3 - version du firmware SG30_sip-fr-7.12.0.1 (de quand date-t-elle ?) - version de firmware orange g6-f-sip-fr (ça date de quand ?)
Merci pour vos lumières !
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: log4j : ma livebox est-elle concernée ?
bonjour @gessien
Rien a voir avec le logiciel interne de la livebox.
la c'est une fail sur Apache, pour ceux qui l'utilise , mise en ligne de site web
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: log4j : ma livebox est-elle concernée ?
Bonjour @jojo3007
log4j est une petite bibliothèque java. Le firmware de la livebox est-il exempt de java ?
Est-ce que les programmes utilisés dans la livebox contiennent cette bibliothèque (dont l'usage ne se limite pas à un serveur internet) ?
Et avec quoi sont affichées les pages d'administration de la livebox ? Il se pourrait que ce soit apache...
Merci
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: log4j : ma livebox est-elle concernée ?
salut @gessien
les box sont basées sur un noyau GNU/Linux, et l'usage d'une bibliothèque java n'est pas du tout systématique et dans ce cas précis, elle est utilisée dans des application, pas un firmware
et non, l'interface n'est pas un serveur apache
à noter que la vulnérabilité est classée "modérée"
ce genre d'article alarmant est à prendre avec la retenue et le recul qui s'imposent
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: log4j : ma livebox est-elle concernée ?
Merci pour la confirmation que la livebox n'utilise pas les bibliothèques/API log4j.
P. S. (Juste pour précision, pas pour polémiquer) Cette faille n'est pas "classée modérée" mais "La vulnérabilité a été caractérisé par Tenable comme « la vulnérabilité la plus importante et la plus critique de la dernière décennie ».
Des preuves de concept ont déjà été publiées. Cette vulnérabilité fait l'objet d'une exploitation active.
La sévérité de la brèche est maximale 10 sur l’échelle CVSS." selon
https://securite.developpez.com/actu/330082/Log4j-la-directrice-du-CISA-s-attend-a-des-retombees-de-... (par erreur, mon lien précédent ne mentionnait "que" la 4e faille de la série, de dangerosité moindre).
Il me semble donc légitime d'avoir posé la question surtout qu'il n'y a pas la moindre information officielle d'orange (alors que de nombreux fabricants de matériel informatique se sont manifestés, soit en publiant un patch, soit en affirmant ne pas être concernés) et que l'attaque en question semble être d'une simplicité déconcertante, par simple requête HTML, ou en remplissant des champs de formulaire sur une page web (comme p. ex. la page de connexion d'une livebox).
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: log4j : ma livebox est-elle concernée ?
salut @gessien
sauf que la page d'administration de la box est sur le LAN, donc inaccessible de l'extérieur
il faudrait donc qu'un pirate puisse attaquer ton propre PC, prendre la main dessus pour remonter vers la box
ce qui n'est plus du tout pareil et de toute manière, il n'y aurait plus besoin de faille sur la box, celle de ton PC, de ton mot de passe, etc, suffira