English
Signatures numériques & outils de signature
Découvrez nos solutions professionnelles pour signer numériquement vos documents électroniques sur desktop ou cloud.
Signature électronique ConsignO CloudMD
Gérez le processus de signature de vos documents et faites signer vos clients n’importe où, n’importe quand et sur n’importe quel appareil.
Solutions commerciales pour les affaires
Intégrez à vos solutions une fonction de signature numérique ou électronique fiable et éprouvée grâce à nos API.
Outils de validation
Valider des documents électroniques signés.
API
Automatisez les processus de signature et de validation.
Voir tous nos produits
19 juillet 2022
par Équipe des communications
Nouvelles

Comment Notarius gère-t-il la vulnérabilité liée à Log4j?

Le 10 décembre 2021, des détails ont émergé au sujet d'une vulnérabilité critique d'exécution de code à distance dans Apache Log4j version 2.14.1, assignée comme CVE-2021-44228. Notarius a évalué cette vulnérabilité et déterminé qu'elle ne peut être exploitée sur ses produits et solutions (CertifiO, CertifiO Manager, EESP, ConsignO Desktop, ConsignO Cloud, ConsignO Server, VerifiO, Hosted HSM, Hosted CEV et les divers API liés à nos produits).

Par mesure de précaution, en plus d'avoir mis à jour de nos pare-feu d'applications Web (WAF) dès le 10 décembre, tous nos produits et solutions sont maintenant à la version nous avons également pris les mesures suivantes :

  • 10 décembre : Mise à jour de nos pare-feu d'applications Web (WAF) pour filtrer toute requête suspecte qui pourrait être exploitée par la vulnérabilité Log4j.
  • 10 décembre : Confirmé qu'aucun de nos services de logging depuis le 3 décembre a reçu des données suspectes.
  • 13 décembre : Mise à jour de ConsignO Cloud avec la dernière version de Log4j 2.15.0
  • 14 décembre au 25 janvier : Mise à jour de nos différents produits en lien aux nombreuses mises à jour de sécurité de Log4j.
  • 19 juillet 2022: Des faux positifs pourraient être rapportés par certains outils de détection qui se basent sur le simple nom « log4j » sans valider le numéro de version de la librairie contenue dans nos produits. Les versions de produit disponibles sur notre page de téléchargement contiennent les librairies récentes adressant les vulnérabilités.

Nos systèmes utilisent actuellement des versions récentes de Log4j. Bien qu'aucune des vulnérabilités identifiées ne puisse être exploitée sur nos produits, nous suivons de près ce problème et nous publierons des mises à jour du produit si nécessaire.
Partagez cette publication
Linkedin