Le 9 décembre, une vulnérabilité dans Apache Log4J a été largement connue pour son potentiel destructeur. De nombreux systèmes sont encore vulnérables à une attaque par cette méthode, connue sous le nom de Log4Shell.
Dans quelle mesure l’exploit Log4Shell peut-il être nuisible sur un serveur ?
Log4Shell est un exploit de type « zero-day » qui permet à un attaquant de tromper Log4j en téléchargeant un paquet malveillant qui s’exécute sur le serveur. Ce paquet peut alors voler des données et utiliser le serveur pour d’autres tâches malveillantes.
Ma solution FileMaker est-elle touchée ?
Voici la déclaration officielle de Claris sur ce problème. Des traces de la bibliothèque java en question ont été trouvées dans toutes les versions de FileMaker Server, à l’exception de FileMaker Server 18 et 19. Log4j peut également être trouvé sur des sites Web, des composants Web (tels que les plugins WordPress), des plugins FileMaker, etc.
Find more information on the Log4Shell exploit here.
Cela affecte-t-il ma solution s’il n’y a pas d’accès externe au réseau local ?
Malheureusement, cette configuration est toujours vulnérable aux attaques. Une machine à l’intérieur du réseau pourrait être exploitée séparément et utilisée pour attaquer le serveur.
Que puis-je faire pour protéger ma solution ?
La seule solution permettant d’atténuer le risque consiste à effectuer une mise à jour vers FileMaker Server 18 ou 19. Certains autres composants ou logiciels peuvent encore comporter une version vulnérable de la bibliothèque Log4j, comme un plugin FileMaker ou un site/composant Web.
Contactez votre consultant FileMaker avant de procéder à la mise à jour de votre serveur, car toutes les mises à jour doivent être effectuées au cas par cas avec les précautions appropriées. Vous pouvez nous contacter si vous avez des questions sur la mise à jour ou si vous envisagez de mettre votre serveur à jour.
Cet article est destiné à des fins d’information uniquement. Veuillez consulter votre développeur FileMaker avant d’apporter des modifications à votre solution.