Lynkoa

INFORMATION PRODUIT - faille de sécurité détectée sur la librairie log4J
  • Topic:
    • Others products
  • Domains:
    • Technical communication

The 17 December 2021 by Coralie

Le CERT-FR et l’ANSSI ont signalé le 10 décembre 2021 une importante vulnérabilité de sécurité dans une librairie très communément utilisée dans tous les projets et logiciels développés en Java. Cette vulnérabilité, identifiée dans la librairie Apache Log4j utilisée pour la journalisation, est susceptible de permettre à des cyberattaquants de prendre le contrôle des systèmes d’information (https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/  mise à jour le 05/01/22).

Cette vulnérabilité, également appelée « log4shell », est causée par une fonctionnalité de Log4j introduite dans les versions 2.x permettant, par l’interprétation d’une chaîne de caractère dans un message journalisé, de se connecter à un site distant sans authentification ou d’exécuter du code directement.

Il s’agit d’une vulnérabilité de sécurité d’ampleur mondiale et classée de niveau 10 par la fondation Apache.

Dès diffusion de cette alerte et suite aux investigations menées par ses propres équipes de cybersécurité, la société Dassault Systèmes a mis en œuvre des actions de remédiation et a communiqué vers ses clients par l’intermédiaire de sa base de connaissance.

Le tableau ci-dessous résume les impacts de cette vulnérabilité sur ses logiciels, tels que communiqués par Dassault Systèmes.

Point de situation concernant les logiciels de Dassault Systèmes

Solution

Action à réaliser

3DEXPERIENCE SaaS

Exécution d’une mise à jour à réaliser (HF0.4) pour chaque utilisateur

3DEXPERIENCE On Premise

Selon la version - Consulter la Knowledge Base de Dassault Systèmes ou contacter le support Visiativ

(support@mycadservices.com)

Suites logicielles SolidWorks et PDM

Non concernées – aucune action à réaliser

SmarTeam

Selon la version - Consulter la Knowledge Base de Dassault Systèmes ou contacter le support Visiativ (support@mycadservices.com)

Situation mise à jour le 1212121/12/21 à 08h30

Ce tableau sera mis à jour au fur et à mesure des informations communiquées par Dassault Systèmes.

Dans le cas où vous vous appuieriez sur les actions préconisées par Dassault Systèmes dans l’article de sa Knowledge Base, il vous est fortement recommandé de consulter régulièrement cet article pour vous assurer que les actions à réaliser n’ont pas été modifiées et n’ont pas été enrichies pas des actions complémentaires.

Concernant les outils connexes aux logiciels Dassault Systèmes développés par VISIATIV (myCadServices, my3Dplayer, myCADplace, myProduct, myCADtools, myApps), ils ne sont pas concernés par cette vulnérabilité (https ://www.mymoovapps.net/actualites/vulnerabilite-dans-apache-log4j). Il en est de même pour les développements spécifiques réalisés par VISIATIV dans les projets.

La protection de vos données est notre priorité et nos équipes travaillent continuellement afin de vous apporter des services toujours plus fiables et sécurisés.

Share

Email this page