Vitam et l'alerte de sécurité sur Log4J

Vendredi 10 décembre était publié un bulletin d’alerte du CERT-FR concernant la librairie Apache Log4J, entraînant mobilisation de l’équipe Vitam, réflexions… et solution !

Depuis une dizaine de jours a été émise une alerte de sécurité [CERT-FR] (référence CERTFR-2021-ALE-022) touchant le composant de la librairie Apache Log4J.

Après analyse, cette vulnérabilité ne touche pas spécifiquement le code de la solution logicielle Vitam, qui utilise logback pour la gestion des logs. Cependant certains composants intégrés dans Vitam sont susceptibles d’être affectés par cette vulnérabilité.
En réponse, l’équipe met à disposition un patch des différentes versions LTS de Vitam, disponible à cette adresse et apportant les corrections d’urgence préconisées dans la CERT ainsi que leurs procédures d’application.
Ce patch a été testé et validé sur l’ensemble des versions LTS Vitam et il est d’ores et déjà utilisé en production par VaS.

La correction apportée par le patch est pleinement suffisante pour sécuriser une application Vitam.
Toutefois, étant donné le grand nombre de librairies qui peuvent utiliser Log4J et l’évolution des analyses toujours en cours par les différents éditeurs de COTS intégrés dans Vitam, le Programme Vitam a choisi de privilégier la production d’une version corrective (Bugfix) qui embarque en une seule fois les montées de version de librairies nécessaires et permettre ainsi une correction définitive .

Pour cela, l’équipe suit attentivement l’évolution de la situation qui reste en cours de stabilisation. La publication de versions correctives en remplacement du patch proposé interviendra donc au plus tard en mars 2022, plus tôt si nécessaire.

L’équipe reste disponible pour répondre aux questions.