L'exploitation de la sécurité Java Log4j2 frappe Intel, NVIDIA et Microsoft mais épargne AMD.



L'exploit Log4shell dans le paquet Apache Log4j, largement utilisé, a poussé pratiquement tous les administrateurs système du monde à travailler nuit et week-end pour mettre désespérément à jour leurs serveurs connectés à Internet. Le problème ne réside pas simplement dans l'application de correctifs et la mise à jour de Log4j lui-même - cela a été fait avant même que le problème ne soit connu du grand public. Le problème est que Log4j est inclus en tant que composant dans des milliers d'applications, et pour combler la faille, ces applications doivent toutes être patchées également.







La liste des programmes vulnérables ne s'arrête pas non plus à la limite des "programmes codés en Java". Grâce en partie à la nature intrinsèquement agnostique de Java en termes de plate-forme, Log4j a été inclus dans tout, des applications orientées client comme Minecraft aux paquets de niveau système d'exploitation de Microsoft. Sans surprise, Intel et NVIDIA ont également leurs propres paquets vulnérables à surveiller.



Pour ce qui est de Microsoft, la société s'empresse d'assurer à ses partenaires qu'elle "n'a pas identifié d'exploitation de [ses] services d'entreprise" par le biais de l'exploit Log4shell. Cependant, un bon nombre de services Microsoft disposent de mises à jour de sécurité pour atténuer la vulnérabilité. La liste comprend Minecraft, bien sûr, mais aussi un certain nombre de services Azure ainsi que le logiciel de serveur SQL de la société. Vous pouvez consulter la liste sur la page d'avis de Microsoft.



Pour Intel, il y a un autre paquet de produits à vérifier pour les correctifs, bien que malheureusement, Chipzilla semble avoir été un peu lent sur le tirage des mises à jour pour la plupart de sa matrice de produits. Le logiciel codec QAT d'Intel, son débogueur système, le kit de développement audio d'Intel et plusieurs autres composants logiciels sont tous en attente de correctifs. En outre, des parties importantes des boîtes à outils Intel oneAPI sont apparemment vulnérables elles aussi. Intel recommande de mettre à jour ses produits avec la dernière version atténuée, dès qu'elle apparaît.







Chez NVIDIA, il semble y avoir un peu moins de raisons de s'inquiéter. Dans son avis, Team Green note immédiatement que ses logiciels orientés client - y compris l'application GeForce Experience, son client GeForce NOW, les produits Jetson et la SHIELD TV - ne sont pas affectés par l'exploit. Il y a cependant quelques paquets vulnérables ailleurs.



Le CUDA Toolkit inclut Log4j à la fois dans le Visual Profiler et dans Nsight Eclipse Edition, bien qu'apparemment il ne soit pas utilisé du tout dans le Visual Profiler et puisse simplement être supprimé. De même, DGX OS n'inclut pas Log4j par défaut, mais NVIDIA conseille de le vérifier quand même, car il peut avoir été inclus dans un logiciel tiers. Le NetQ de NVIDIA et son serveur de licences logicielles VGPU seront tous deux affectés et devront être mis à jour.



Mais qu'en est-il de l'équipe rouge ? La maison de Ryzen et Radeon a publié un bref avis sur l'exploit Log4shell, mais étonnamment, il dit simplement qu'AMD n'a pas identifié de produits affectés. Espérons que c'est parce que la société n'utilisait pas Log4j, et non parce qu'elle n'a tout simplement pas trouvé de vulnérabilité.



HOTHARDWARE