11 private links
Bravo aux équipes sécurité de montrer encore une fois leur incompétence en programmation ...
Quand on y réfléchit un poil, c'est vrai que c'est fou que cette "faille" de sécurité soit restée masquée pendant dix ans ... Est-ce que ça veut dire que l'outillage de sécurité n'est pas mature ? Peut-être bien
Si vous avez peur de la faille log4j (vous devriez), cette liste d'actions assez courte et efficace devrait vous permettre de regagner un peu de sérénité
Oui, l'affaire log4j révèle l'inadaptation des entreprises à l'open-source. Tant pis pour les entreprises. Parce que le problème n'est pas du côté de log4j, mais du côté des entreprises qui refusent leur responsabilité.
Très bon article expliquant la fameuse attaque log4j et les moyens de s'en protéger
C'est tellement drôle comme réponse que je me verrais bien configurer mon Apache pour jouer de la zip-bomb
Un script Python de détection d'attaque log4shell. La méthode est assez basique : le script lit les fichiers de logs de la machine et regarde quels fichiers contiennent ${jndi:ldap:
Une astuce très moderne : utiliser la faille de log4j pour corriger la faille de lo4j
Une liste, évidement appelée à grandir rapidement, des entreprises et organisations affectées par la faille de log4j
Comprehensive (and by far better than default one) documentation for Log4J