Pourquoi Batch n'est pas affecté par la vulnérabilité Log4Shell 🐞

Vendredi 9 décembre une faille de type Zero-Day nommée Log4Shell a été publiée concernant la bibliothèque Apache Log4j. Cette faille, très critique, permet à un attaquant d'exécuter du code arbitraire à distance à travers la bibliothèque Log4j, bibliothèque utilisée dans le monde entier par toutes les industries.

Nous tenions à vous informer que l'impact de cette vulnérabilité chez Batch est nul. Notre infrastructure ne fait pas usage de la librairie Apache Log4j impactée par la faille, et nous avons immédiatement mis à jour les outils tiers susceptibles d'être impactés.

Vous êtes nombreux, à raison, à vous inquiéter de cette vulnérabilité, considérée comme l'une des plus inquiétantes de ces dernières années depuis Heartbleed et ShellShock, il nous semblait donc important de vous informer de la démarche que nos équipes techniques ont suivie pour s'assurer que celle-ci n'aurait aucun impact chez Batch.

• Dès la découverte de la faille, nous avons mobilisé nos équipes pour faire une analyse poussée des usages de Log4j au sein de notre infrastructure. Sur toutes nos applications métier écrites en Java, y compris le SDK Android, nous n'avons détecté aucun usage de Log4j, la partie logging étant gérée différemment.

• Concernant les outils tiers que nous utilisons au quotidien, nous en avons identifié certains qui utilisaient une version vulnérable de Log4j. Ceux-ci ont immédiatement été mis à jour sur des versions stables et corrigeant la vulnérabilité à Log4Shell.

• Nous avons ensuite poussé l'analyse en inspectant l'ensemble des logs produits par nos outils tiers sur ces derniers mois et nous pouvons affirmer avec certitude que la vulnérabilité Log4Shell n'a pas été exploitée.

Si vous avez des questions sur la librairie Log4j et la faille Log4Shell qui l'impacte ou si vous souhaitez en savoir plus sur l'infrastructure et la sécurité des données chez Batch, contactez l'équipe via l'adresse support@batch.com.

Keep Pushing...en toute sécurité ! 😉