Récemment, des chercheurs en sécurité ont identifié une vulnérabilité d'exécution de code à distance (RCE) (CVE-2021-44228) affectant l'outil Log4J d'Apache, un utilitaire de journalisation basé sur Java utilisé par de nombreux fournisseurs de logiciels.
Depuis la découverte de ce problème, l'équipe de sécurité d'Udemy a travaillé assidûment pour analyser et protéger les systèmes d'Udemy. À l'heure actuelle, rien n'indique que cette vulnérabilité a eu des répercussions négatives sur des entreprises ou des données personnelles. Nous continuons à étudier l'impact de cette vulnérabilité sur notre infrastructure et nos applications.
Pour les vulnérabilités à haut risque et à fort impact comme celle-ci, nos équipes prennent un certain nombre de mesures immédiates, notamment des tests pour confirmer les niveaux de vulnérabilité, la restriction des connexions réseau et l'application de mises à jour logicielles ou système ou de solutions de contournement si nécessaire. Nos équipes de sécurité et d'ingénierie surveillent notre environnement, nos sous-traitants essentiels et nos fournisseurs pour détecter la présence de cette vulnérabilité, les tentatives d'attaques et les avis des parties tierces sous contrat.
Nous mettrons à jour cette page au fur et à mesure des informations obtenues. Notre équipe de sécurité s'efforce d'assurer la protection de nos systèmes en fonction de l'évolution des recommandations des chercheurs en sécurité. Nous ne sommes donc pas en mesure de fournir des réponses personnalisées. Pour obtenir plus d'informations sur notre stratégie de réponse, reportez-vous aux questions fréquemment posées ci-dessous.
Avez-vous effectué une mise à jour vers une version plus sûre de Log4J (2.0-2.14.1) ?
Dès que des versions vulnérables de Log4J étaient auparavant utilisées, nous avons entrepris des efforts de remédiation minutieux, comme la mise à jour vers une version plus récente recommandée ou la mise en œuvre de solutions de contournement recommandées. Nous avons également ajusté nos couches de défense (par exemple, en ajoutant des restrictions supplémentaires pour les connexions réseau entrantes et sortantes) afin de protéger nos systèmes de manière plus globale.
Quand la correction sera-t-elle terminée ?
L'équipe de sécurité d'Udemy suit les recommandations des experts en sécurité et des fournisseurs au fur et à mesure que les modèles d'attaque de la vulnérabilité Log4J évoluent, et nos efforts de correction et d'atténuation se poursuivront à mesure que ces recommandations seront partagées.
Les données des clients ont-elles été compromises ?
À l'heure actuelle, rien n'indique que cette vulnérabilité a eu des répercussions négatives sur des entreprises ou des données personnelles.
Demandez-vous aux fournisseurs tiers utilisés dans votre environnement quel est l'impact de la vulnérabilité Log4J sur leurs solutions ?
Udemy a contacté les fournisseurs et mis à jour les outils au fur et à mesure de leur publication par les fournisseurs. Nous surveillons également les listes agrégées d'experts en sécurité pour nous assurer que nous répondons aux autres mesures d'atténuation recommandées, outil par outil.