Les services et applications Password Boss ne sont pas affectés par la vulnérabilité Apache Log4j2 (CVE-2021-44228)

Arrière-plan
Le 12/10/21, une vulnérabilité de sécurité de haute gravité dans le framework de journalisation Java log4j (CVE-2021-44228) a été signalée et a commencé à être activement exploitée sur des systèmes Internet. Cet exploit, également connu sous le nom de « log4shell » ou « shellshock », fournit un vecteur d'exécution de code à distance.

Depuis que la vulnérabilité a été rendue publique, nous avons activement examiné et analysé en profondeur toutes nos bases de code, notre infrastructure de dépendances et nos fournisseurs tiers afin de déterminer si une partie était affectée. Nous sommes heureux d'annoncer que rien n'a été trouvé.

Aucun de nos services web n'utilise de code ou de bibliothèque Java. Le seul code Java de notre pile est celui de notre application mobile Android, qui a été rigoureusement vérifiée, y compris toutes ses dépendances, et n'utilise absolument pas Log4j.

La sécurité est une priorité absolue chez Password Boss , nous continuerons donc à examiner et à évaluer les vulnérabilités au fur et à mesure qu'elles seront connues afin de maintenir et d'assurer la sécurité de vos environnements.