Faille de sécurité dans Log4J

Ce jeudi 9/12, une faille de type 0-day a été détectée par l’équipe TI d’Alibaba (le fameux site web d’e-commerce chinois). Cette vulnérabilité est considérée *critique* et permettrait à n’importe qui d’exécuter du code sur n’importe quel serveur équipé de log4j.

Log4j est une librairie (un paquet de code) utilisé par d’autres logiciels écrits en Java. Chamilo n’utilise pas Java mais PHP, et n’est donc lui-même n’est pas concerné. Certains utilisateurs de Chamilo utilisent toutefois des logiciels écrits en Java, pour activer des extensions telles que “Chamilo Rapid” (un convertisseur de documents PowerPoint et LibreOffice Presentation vers des parcours de Chamilo) ou “BigBlueButton” (un système de vidéoconférence).

BigBlueButton, la plus commune de ces extensions, n’est heureusement pas affectée (du moins dans ses versions récentes). Il n’y a donc rien à faire.

Chamilo Rapid (en fait LibreOffice, qui est utilisé par Chamilo Rapid), par contre, semble installer Log4j par défaut lors de son installation.

Nous avons toutefois fait la vérification pour vous, et il est possible de désinstaller, sur des serveurs Debian et Ubuntu, la librairie Log4j sans pour autant “casser” l’installation de Chamilo Rapid. Pour ce faire, il suffit de lancer la commande suivante:

sudo apt remove log4j

Cela supprimera également quelques librairies qui ne sont plus nécessaires, mais pas de souci à se faire, a priori, bien que cela dépende fortement de votre système d’exploitation, de votre distribution et de sa version.

Si vous utilisez Metabase en connexion avec Chamilo (pour un moteur de rapports dynamiques, comme nous l’offrons à partir d’un certain niveau du service Chamilo Pro), sachez que Metabase est, lui, bien affecté par la faille de sécurité de Log4j, et qu’il vous faudra mettre à jour au moins à la v0.41.4 (rapidement, donc, étant donnée la criticalité de la faille).

Si vous souhaitez un peu de support technique de notre part à ce sujet, n’hésitez pas: info@beeznest.com.