Jeedom & faille de sécurité Log4j

Hello, est-ce que Jeedom ou ses plugins sont concernés par la faille de sécurité de Log4j ?
https://logging.apache.org/log4j/2.x/security.html

Y’a pas de java dans Jeedom … :thinking:

Bonjour,

Jeedom n’est pas concerné ainsi que tous les services cloud de Jeedom (l’analyse a été faite dès vendredi). On utilise jamais de java.

8 « J'aime »

Même via les plugins #plugin-matrixdisplay ou #plugin-eibd ou encore #plugin-habridge ? Qui après une recherche (sans doute trop) rapide utiliseraient du Java (ou pas ? ou plus ?)

(Je sais que plugins tiers et donc pas jeedom mais comme on est tous dans le même bateau si c’est le cas, c’est intéressant d’avoir le retour de leurs développeurs tiers)

@lunarok #plugin-matrixdisplay : pas de log4j dans awtrix
@Neokamikaze37 #plugin-habridge : ce module ne fait pas partie du package HaBridge.
@mika-nt28 #plugin-eibd : n’utilise pas de Java et je ne crois pas qu’il y en a dans knxd qui est plutôt en c

vous confirmez que pas de vulnérabilité de votre côté ?

Bonjour
J’ai oublié de préciser on ne peut regarder sur les plugins officiel bien sûr nous n’avons pas les compétences pour juger des failles de sécurité sur les plugins tierces

1 « J'aime »

Il y a pourtant une validation du plugin avant la mise en stable par jeedom sas (pour les récents), donc s’il y a du Java, ils sont au courant.

Indirectement vous êtes donc impactés en cas de problème de sécurité (principe d’une maillon faible). C’est donc mieux d’avoir une vue d’ensemble.

2 « J'aime »

Pas vu de log4j dans le jar awtrix

1 « J'aime »

Ça ne fait pas partie du processus de validation comme dit nous n’avons pas les compétences nécessaires pour être capable de comprendre tous les langages de programmation existant

Ce n’est pas ce que j’ai dis, j’ai juste dit que vous référencez probablement les langages utilisés via une fiche par plugin ou qqch. donc que normalement ceux qui utilisent java devraient être connus.

Au risque de te décevoir nous ne faisons pas ça nous n’avons aucun fiche de plugins ou autre

Ok lançons une bouteille à la mer alors chers @Developpeurs ceux qui ont un plugin qui contient du Java, et donc potentiellement log4j, merci de vous identifier et d’indiquer si votre plugin n’est pas (plus car corrigé) vulnérable à la faille. Les autres, désolé du dérangement :slight_smile:

Dans ce cas ne faudrait il pas réouvrir ce post pour éviter qu’il ne soit fermé dans 24h si plus aucune réponses pour laisser le temps aux développeurs de s’exprimer ?

Salut,
Tu as raison, autant je comprend que jeedom ne puisse pas tout valider et suivre tous les plugins (encore plus le cas si pas installé via le market), autant si faille (celle-ci ou une autre) cela reste jeedom qui sera pointé du doigt malheureusement.

Bref, je n’utilise pas de Java (et donc pas log4j) et je n’ai pas connaissance d’un plug-in qui le ferait.

Hello.
Vous oubliez les containers aussi dans le lot. Et c’est encore moins simple de voir ce que ça embarque

1 « J'aime »

Je réagi sur ta remarque car c’était pourtant ce que j’aurais cru aussi. Sans travail de contrôle de Jeedom nécessitant des compétences et du temps mais une fiche auto-déclarative avec quelques informations. Avec l’engouement et l’accumulation de plugins divers, en tout cas cela aurait du sens de le mettre en place.

A partir du moment où vous installez un plugin tiers il y a forcément des risques.
C’est pareil que sur votre ordi. Vous faites confiance au développeur.

Si l’accès est sécurisé et régulé ( DNS ou HTTPS et firewall) même si la faille est présente en local, le risque est minime.

Ça aurait été problématique si la faille avait été dans le coeur de Jeedom

1 « J'aime »

C’est exactement ce que j’ai fait :wink:

Bonjour,

Le #plugin-eibd n’utilise pas de Java et je ne crois pas qu’il y en a dans knxd qui est plutôt en c

Sur le forum on déclare normalement les language utilisés
Ça peut identifier quelques un

Salut @nebz,

Je confirme que ce module ne fait pas partie du package HaBridge.

Ciao