| [ostorybook-dev] Vulnérabilité |
[ Thread Index |
Date Index
| More lists.tuxfamily.org/ostorybook-dev Archives
]
Bonjour,
Actuellement sur les réseaux la communauté "web" s'inquiète fortement de
la vulnérabilité "Log4Shell" qui a pour source l'API "Log4J". Cette API
permet de disposer d'un outil standard pour journaliser des événements.
La plupart du temps c'est utilisé lors de la mise au point d'un
logiciel, voir pour rapporter un incident. Dans le contexte WEB c'est
aussi utilisé pour "journaliser" des choses diverses et variées. Si vous
regardez dans le sous-dossier "lib" de votre installation oStorybook
vous trouverez cette API à la version 1.2.16, alors que la dernière
version disponible, qui corrige la vulnérabilité, est la 2.17.0. Je sais
pertinemment que Log4J n'est plus utilisé dans oStorybook. Plutôt que de
mettre à jour cette API j'ai décidé de la supprimer purement et
simplement. Donc à partir de la publication de la prochaine version
5.05.05 on pourra dire que oStorybbok est "immunisé contre Log4Shell".
Ceci étant cette API peut avoir été installée dans le "package" Java,
dans ce cas, en principe, une mise à jour Java devrait faire disparaître
la-dite vulnérabilité.
Je vais publier ce message dans les news du site.
--
Franz-Albert projet oStorybook
--
oStorybook5 dev