Le logiciel DigDash Enterprise est-il concerné par les vulnérabilités liée à log4j ?
-
Bonjour,
Suite à la découverte des vulnérabilités liée à log4j (CVE-2021-44228) , les équipes DigDash ont analysé les vecteurs d'attaques ainsi que les différents moyens de mitigation.
L'analyse de notre équipe R&D, sur les versions, ainsi que les composants utilisés, révèle que le logiciel DigDash n'est pas concerné par les failles CVE-2021-44228.
En détail :
- DigDash utilise la version 1 de log4j qui n'est que très peu adhérente à ces problèmes de sécurité. Il se trouve que les éléments JMSAppender ne sont pas utilisés ce qui rend notre déploiement hermétique aux failles de sécurité révélé par CVE-2021-44228.
Plan de mitigation :
- Inutile
Plan de correction
- Inutile
Rappel, nous préconisons à nos utilisateurs ayant choisi un déploiement sur leur site de toujours maintenir leur version de Java à jour.
Cordialement,
L'Équipe DigDash