Recherchez dans la Communauté

Vous avez une question ?

Interrogez la communauté

internet & fixe protéger mes données et mon accès internet

log4j : ma livebox est-elle concernée ?

gessien
contributeur confirmé
contributeur confirmé
695  

log4j : ma livebox est-elle concernée ?

Bonjour,

récemment, une série de failles géantes appelée log4j ou log4shell a fait la une de la presse spécialisée (si vous n'en avez pas encore entendu parler, voilà un article : https://securite.developpez.com/actu/329844/Une-quatrieme-vulnerabilite-decouverte-dans-la-bibliothe... )

 

J'aimerais savoir si les livebox sont concernées et si orange a déjà installé à distance les correctifs nécessaires.

 

Comment puis-je vérifier moi-même si ma box est protégée ?

 

Livebox 3 - version du firmware SG30_sip-fr-7.12.0.1 (de quand date-t-elle ?) - version de firmware orange g6-f-sip-fr (ça date de quand ?)

 

Merci pour vos lumières !

5 RÉPONSES 5
jojo3007
star
star
648  

Re: log4j : ma livebox est-elle concernée ?

bonjour @gessien 

 

Rien a voir  avec le logiciel interne de la livebox.

 

la c'est une fail sur Apache, pour ceux qui l'utilise , mise en ligne de site web

Tout problème a sa solution et chaque solution a son problème
gessien
contributeur confirmé
contributeur confirmé
625  

Re: log4j : ma livebox est-elle concernée ?

Bonjour @jojo3007 

log4j est une petite bibliothèque java. Le firmware de la livebox est-il exempt de java ?

Est-ce que les programmes utilisés dans la livebox contiennent cette bibliothèque (dont l'usage ne se limite pas à un serveur internet) ?

Et avec quoi sont affichées les pages d'administration de la livebox ? Il se pourrait que ce soit apache...

Merci

fredolerouge
#TopMembre
#TopMembre
609  

Re: log4j : ma livebox est-elle concernée ?

salut @gessien  

 

@jojo3007  

 

les box sont basées sur un noyau GNU/Linux, et l'usage d'une bibliothèque java n'est pas du tout systématique et dans ce cas précis, elle est utilisée dans des application, pas un firmware

 

et non, l'interface n'est pas un serveur apache

 

à noter que la vulnérabilité est classée "modérée"

 

ce genre d'article alarmant est à prendre avec la retenue et le recul qui s'imposent

 

Le monde est partagé en 10 catégories de personnes, ceux qui comprennent le binaire et les autres.
gessien
contributeur confirmé
contributeur confirmé
570  

Re: log4j : ma livebox est-elle concernée ?

Merci pour la confirmation que la livebox n'utilise pas les bibliothèques/API log4j.

 

P. S. (Juste pour précision, pas pour polémiquer) Cette faille n'est pas "classée modérée" mais "La vulnérabilité a été caractérisé par Tenable comme « la vulnérabilité la plus importante et la plus critique de la dernière décennie ».

Des preuves de concept ont déjà été publiées. Cette vulnérabilité fait l'objet d'une exploitation active.

La sévérité de la brèche est maximale 10 sur l’échelle CVSS." selon

 

https://securite.developpez.com/actu/330082/Log4j-la-directrice-du-CISA-s-attend-a-des-retombees-de-... (par erreur, mon lien précédent ne mentionnait "que" la 4e faille de la série, de dangerosité moindre).

 

Il me semble donc légitime d'avoir posé la question surtout qu'il n'y a pas la moindre information officielle d'orange (alors que de nombreux fabricants de matériel informatique se sont manifestés, soit en publiant un patch, soit en affirmant ne pas être concernés) et que l'attaque en question semble être d'une simplicité déconcertante, par simple requête HTML, ou en remplissant des champs de formulaire sur une page web (comme p. ex. la page de connexion d'une livebox).

fredolerouge
#TopMembre
#TopMembre
548  

Re: log4j : ma livebox est-elle concernée ?

salut @gessien 

 

sauf que la page d'administration de la box est sur le LAN, donc inaccessible de l'extérieur

 

il faudrait donc qu'un pirate puisse attaquer ton propre PC, prendre la main dessus pour remonter vers la box

 

ce qui n'est plus du tout pareil et de toute manière, il n'y aurait plus besoin de faille sur la box, celle de ton PC, de ton mot de passe, etc, suffira

 

Le monde est partagé en 10 catégories de personnes, ceux qui comprennent le binaire et les autres.

Vous avez une question ?

Interrogez la communauté

Déjà 753072 membres inscrits 🧡

2491 personnes actuellement en ligne

Tous les membres en ligne