Scenari et la faille de Log4J

Une faille de sécurité a été découverte récemment dans une librairie java très souvent utilisée : Log4J du consortium Apache
([MaJ] Vulnérabilité dans Apache Log4j – CERT-FR ).

Nombreux se demandent si Scenari peut-être touché par cette faille. La réponse est non, pas directement, Scenari n’utilisant pas ce type de librairies.

Cependant, après analyse de l’ensemble du code de Scenari et de ses dépendances, seul un cas potentiel apparait en Scenari 5.0, pour le déploiement d’un portail Scenari qui exploite le module dépot de Scenari AVEC une indexation ElasticSearch. En effet, le serveur ElasticSearch embarque la version 2 de cette librairie Log4J. Dans notre contexte d’utilisation d’ElasticSearch, le risque semble faible (et peut-être nul), mais pour ne prendre aucun risque, une possibilité consiste à éliminer la classe java incriminée dans les jars concernés :

  • stop Scenari
  • stop Elasticsearch
  • zip -q -9 -d /usr/share/elasticsearch/lib/log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  • start Elasticsearch
  • start Scenari

Note : l’emplacement mentionné du fichier « log4j-core-*.jar » est valable pour Linux avec une installation via .deb ou .rpm (sinon il se trouve dans le répertoire « lib » de l’installation manuelle d’ElasticSearch que ce soit sous Linux ou Windows).