Vulnérabilité Log4Shell (Log4j) : quels sont les produits vulnérables ?

La vulnérabilité Log4Shell au sein de la bibliothèque Log4j touche énormément de produits et de vendeurs différents, à tel point que l'on ne sait pas réellement qui est concerné.

Fort heureusement, un français surnommé SwitHak a eu l'excellente idée de créer une liste des produits et vendeurs concernés sur GitHub, avec un classement par ordre alphabétique. À chaque fois, le lien vers le bulletin de sécurité est ajouté.

• La très très très longue liste est accessible via ce lien

N'hésitez pas à rechercher dans cette liste les produits que vous utilisez afin de vérifier leur présence ou non. En complément, et dans le cas où le fabricant/l'éditeur n'apparaît pas dans cette liste, vérifiez tout de même sur le site officiel.

Ne soyez pas surpris de retrouver les principaux vendeurs et éditeurs du marché... Voici quelques noms qui vont forcément vous parler : Cisco, Bitdefender, Docker, IBM, Jenkins, McAfee, Microsoft, NetApp, Nutanix, Oracle, Plesk, Puppet, Salesforce, Sophos, SonicWall, Synology, TP-Link, TrendMicro, Veeam, VMware, etc...

Pour rappel, la bibliothèque Log4j est touchée par une faille de sécurité critique qui a bénéficié d'un score de 10/10 et qui peut-être exploitée à distance, sans authentification, afin de permettre à l'attaquant d'exécuter du code malveillant sur le serveur cible.