Depuis la divulgation au public de la vulnérabilité Zero Day Apache Log4j CVE-2021-44228 surnommée "Log4Shell" le vendredi 10 décembre 2021, les équipes de sécurité et d'infrastructure de GlobalSign ont travaillé jour et nuit pour s'assurer que notre environnement n'est pas affecté.
Nous avons examiné l'ensemble de notre infrastructure et de nos services et avons corrigé ou isolé ceux qui utilisaient des versions vulnérables de la bibliothèque log4j. Pour les services qui utilisaient une version vulnérable, nous avons mené une enquête détaillée sur les journaux de support et n'avons découvert aucune preuve qui démontrerait que ces services ont été compromis. Nous avons observé des attaques visant à exploiter cette vulnérabilité au cours des derniers jours, mais elles ont toutes échoué et se sont produites après que nous ayons appliqué les correctifs aux services concernés.
Dans l'éventualité d'une mise à jour nécessaire, nous la fournirons comme il se doit, mais pour l'instant nous pensons que notre environnement est protégé de manière adéquate contre cette vulnérabilité.
Si vous avez d'autres questions, veuillez contacter notre équipe de support.
Veuillez vous référer à ce livre blanc pour une description des mesures globales prises par GlobalSign pour protéger son environnement.