Informations supplémentaires sur la vulnérabilité d’exécution du code distant Apache Log4j (CVE-2021-44228) (CVE-2021-45046)

Summary: Ce document fournit des questions fréquentes à l’appui du DSN-2021-007.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Security Article Type

Security KB

Issue Summary

Dell Technologies a publié l’avis de sécurité « DSN-2021-007 : Réponse de Dell à la vulnérabilité d’exécution du code distant Apache Log4j » en réponse aux vulnérabilités critiques CVE-2021-44228 et CVE-2021-45046 dans la bibliothèque Apache Log4j open source. La vulnérabilité initiale (CVE-2021-44228) affecte Log4j 2.x versions 2.14.0 et antérieures. La deuxième vulnérabilité (CVE-2021-45046) affecte Log4j 2.x versions 2.15.0 et antérieures, à l’exception de 2.12.2. Notez que Log4j 1.x n’est affecté par aucune de ces vulnérabilités.

Il s’agit de failles de sécurité critiques qui nécessitent votre attention immédiate, car le composant Apache Log4j est largement utilisé par de nombreux fournisseurs et packages logiciels.

Nous travaillons dur pour vous tenir continuellement au courant de l’évolution de la situation.

Pour obtenir une liste complète des produits Dell, de leur impact et de leurs mesures correctives, reportez-vous à l’article de la base de connaissances Apache Log4j.

Nous communiquerons les mises à jour d’atténuation et de sécurité dès qu’elles seront disponibles via les conseils de sécurité Dell publiés sur la page Conseils et avis de sécurité. Nous tiendrons une liste des conseils de sécurité Dell pertinents dans la liste complète des produits Dell concernés : Apache Log4j Knowledge Base Article. Vous pouvez vous abonner à nos alertes de sécurité pour être averti lorsque de nouveaux avis de sécurité sont publiés en suivant les conseils ici, ou en suivant les instructions de la section Alertes de sécurité sur la page Avis et avis de sécurité.

Continuez à surveiller l’avis de sécurité Dell (DSN-2021-007) et l’article de la base de connaissances Apache Log4j pour les mises à jour Log4j.

Nous continuerons à mettre à jour cette page périodiquement avec les dernières informations.

Details

Reportez-vous à l’avis de sécurité Dell DSN-2021-007 suivant : Réponse de Dell à la vulnérabilité d’exécution du code distant Apache Log4j

Recommendations

Questions fréquentes :   


Quelles sont les failles de sécurité qui affectent actuellement Apache Log4j ? 

Dell surveille plusieurs failles de sécurité dans les bibliothèques Apache Log4j :
  

ID CVE  CVSS Score  Versions Apache Log4j concernées   Impact  Version Apache Log4j corrigée  Résumé 
CVE-2021-44228  Critique (10.0)  Toutes les versions 2.0 à 2.14.1  Exécution de code à distance (RCE)  Mise à niveau vers la version 2.15 ou ultérieure Un problème d’exécution de code à distance facilement exploitable sur toutes les configurations. Exploités activement. 
CVE-2021-45046  Critique (9.0)  Toutes les versions de 2.0 à 2.15, à l’exception de 2.12.2+  Exécution de code (RCE) à distance (et locale), fuite d’informations  Mise à niveau vers la version 2.16 ou ultérieure Difficile à exploiter, le problème d’exécution du code à distance n’est présent que sur les configurations autres que celles par défaut. À l’heure actuelle, nous n’avons connaissance d’aucune preuve d’exploitation. 
CVE-2021-45105  Haute (7.5)  Toutes les versions 2.0 à 2.16  Déni de service (DOS)  Mise à niveau vers la version 2.17 ou ultérieure Difficile à exploiter. Peut bloquer le processus Java sur des configurations autres que celles par défaut. À l’heure actuelle, nous n’avons connaissance d’aucune preuve d’exploitation. 
CVE-2021-44832 Moyenne (6.6) Toutes les versions de 2.0-alpha7 à 2.17.0, à l’exception de 2.3.2 et 2.12.4 Exécution de code à distance (RCE) Mise à niveau vers la version 2.17.1 ou ultérieure Difficile à exploiter. Nécessite l’utilisation de l’appender JDBC et le contrôle de la configuration Log4j par l’attaquant.
À l’heure actuelle, nous n’avons connaissance d’aucune preuve d’exploitation.

 

Sur quoi Dell se concentre-t-il actuellement concernant Log4j ? 

Nous nous concentrons actuellement sur la publication de solutions de contournement et de mises à jour de sécurité qui protègent au mieux nos clients contre l’exploitation active de CVE-2021-44228. La majorité de nos produits concernés migrent ou sont passés à la version Log4j 2.16, qui protège contre les vulnérabilités CVE-2021-44228 et CVE-2021-45046. Il existe un sous-ensemble plus petit qui a été déplacé vers Log4j 2.15, que nous travaillons rapidement à déplacer vers Log4j 2.16. 

  

Pourquoi Dell a-t-il accéléré le délai de correction de CVE-2021-45046 ? 

Au départ, CVE-2021-45046 était un problème de faible gravité, mais il est passé à un niveau de gravité critique le 16 décembre avec la découverte de contournements des protections dans Log4j 2.15. Les experts en sécurité de Dell estiment que les chercheurs et les attaquants pourraient continuer à repousser les limites de ce problème et découvrir de nouveaux vecteurs d’attaque. Pour cette raison, nous pensons qu’il est dans l’intérêt de nos clients de passer à Log4j 2.16, car il désactive les fonctionnalités vulnérables par défaut. 

 

Pourquoi Dell n’accélère-t-il pas les délais pour CVE-2021-45105 ou CVE-2021-44832 ? 

À l’heure actuelle, nous n’avons connaissance d’aucun attaquant exploitant CVE-2021-45105 ou CVE-2021-44832. Log4j 2.16 a également ajouté un certain nombre de protections de défense en profondeur contre les problèmes potentiels d’exécution de code à distance qui pourraient avoir un impact sur les clients. Compte tenu de ces deux faits clés, il n’y a pas encore suffisamment de preuves nous obligeant à passer à un calendrier plus serré pour la distribution de Log4j 2.17 ou Log4j 2.17.1. Notre objectif principal et continu est de nous protéger contre les vulnérabilités CVE-2021-44228, puis CVE-2021-45046. 

Nous continuerons à surveiller l’impact des vulnérabilités CVE-2021-45105, CVE-2021-44832 et de tout autre problème découvert, et nous pouvons accélérer les délais de correction si les circonstances changent. 
 
Pour plus d’informations sur ces failles de sécurité, consultez la page Failles de sécurité Apache Log4j.



Ces vulnérabilités sont-elles exploitées ?

Les attaquants recherchent activement les failles de sécurité Apache Log4j, quel que soit le fournisseur ou le fabricant. Si vous êtes un client Grand Compte, nous vous encourageons à collaborer avec votre personnel chargé de la sécurité des informations afin d’évaluer le meilleur plan d’action dès que possible.

 

Comment savoir quels produits Dell sont concernés ?

L’état des produits affectés, non affectés ou en cours d’examen est répertorié dans l’article 194414 de la base de connaissances. Nous mettrons régulièrement à jour ce document avec les informations les plus récentes. Nos équipes chargées des produits et de la sécurité travaillent sans relâche pour étudier et trouver des solutions pour les produits concernés le plus rapidement possible.

 

Mon produit Dell est concerné. Que puis-je faire pour me protéger ?

Si vous constatez utiliser un produit Dell Technologies concerné après avoir consulté l’article 194414 de la base de connaissances, installez le correctif de sécurité applicable ou suivez la solution de contournement recommandée, comme indiqué dans le document, ou revenez ultérieurement si les solutions de contournement ou les correctifs sont toujours en attente.

Nous vous encourageons à suivre les meilleures pratiques de sécurité, y compris celles recommandées par Apache. Vous pouvez avoir d’autres contrôles de sécurité dans votre environnement qui peuvent vous aider à vous protéger jusqu’à ce que vous soyez en mesure d’appliquer les correctifs. Si vous êtes un client Grand Compte, nous vous encourageons à collaborer avec votre personnel chargé de la sécurité des informations afin d’évaluer le meilleur plan d’action dès que possible.

 

Dois-je utiliser la solution de contournement ou le correctif si mon produit Dell est concerné ?

Compte tenu de la gravité de ces problèmes, nous vous recommandons vivement d’appliquer la première option disponible pour vous protéger au mieux contre ces vulnérabilités. Si vous appliquez une solution de contournement, n’oubliez pas d’appliquer le correctif officiel une fois disponible. Si vous êtes un client Grand Compte, nous vous encourageons à collaborer avec votre personnel chargé de la sécurité des informations afin d’évaluer le meilleur plan d’action dès que possible.

 

Puis-je me contenter d’appliquer un pare-feu aux produits concernés au lieu d’appliquer des correctifs ou d’utiliser la solution de contournement ?

Toutes les organisations ont des environnements et des besoins différents. C’est à vous et à votre équipe de sécurité des informations qu’il est préférable d’évaluer si une solution de contournement ou un correctif est approprié pour cette situation.

 

Comment savoir si mon produit est pris en charge ?

Conformément à sa Dell Vulnerability Response Policy, Dell s’efforce de corriger les produits, versions ou plateformes activement pris en charge. Pour savoir si votre produit est actuellement pris en charge, consultez l’article suivant : Tous les documents Dell EMC sur la fin de vie

 

Que dois-je faire si j’ai des questions ?

Si vous avez des questions après avoir consulté le document relatif aux produits concernés, contactez le support client Dell : article de la base de connaissances Apache Log4j.

Affected Products

Product Security Information
Article Properties
Article Number: 000194416
Article Type: Security KB
Last Modified: 12 May 2026
Version:  18
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.