Le monde de l’informatique bruisse d’une faille critique appelée « log4j ». Vous vous interrogez, à juste titre, sur l’impact de cette faille pour nos outils.
Voilà les nouvelles (rassurantes) :
- Aucun des logiciels que nous proposons n’utilise Java (Koha est écrit en Perl, Bokeh, Omeka et Planno / Planning Biblio sont écrits en PHP). Or cette faille est basée sur une bibliothèque Java.
- Certaines briques sous-jacentes peuvent utiliser Java. Nous avons identifié 2 cas :
- les utilisateurs de Koha avec connecteur shibboleth : la configuration fait référence à log4j mais le module n’est pas utilisé, pas de faille
- les utilisateurs de Koha avec le moteur elasticsearch : les patches de sécurité refermant la faille ont été publiés et appliqués (https://logging.apache.org/log4j/2.x/security.html pour les détails techniques)
Bonne fêtes de fin d’année à chacun !