• [^] # Re: Un schéma pour comprendre

    Posté par . En réponse au lien Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package. Évalué à 2.

    Merci pour ce schéma, très clair.
    Si je comprends bien : en intervenant sur (au moins) une de ces 5 étapes, on peut se prémunir de l'attaque Log4Shell ? L'idéal étant sans doute d'agir sur toutes, pour avoir ceinture et bretelles et ...

    Et me vient donc une question : l'étape 5 n'est-elle pas désactivée, par défaut ? Il me paraît inconcevable, pour des raisons évidentes de sécurité, que la configuration par défaut soit d'autoriser l'exécution d"un code Java venant de l'extérieur !