Dépannage - Général

Récemment, les chercheurs en sécurité ont identifié trois vulnérabilités d'exécution de code à distance (RCE) associées au framework Spring (CVE-2022-22965, CVE-2022-22963, CVE-2022-22947). Une quatrième vulnérabilité par déni de service (DoS) associée à Spring a également été identifiée, avec un niveau de sévérité moyen : CVE-2022-22950.

Depuis la découverte de ces problèmes, l'équipe de sécurité d'Udemy a travaillé assidûment pour analyser et protéger les systèmes d'Udemy. À l'heure actuelle, rien n'indique que ces vulnérabilités ont eu des répercussions négatives sur des entreprises ou des données personnelles.

Pour les vulnérabilités à haut risque et à fort impact comme celles-ci, nos équipes prennent un certain nombre de mesures immédiates, notamment des tests pour confirmer les niveaux de vulnérabilité, la restriction des connexions réseau et l'application de mises à jour logicielles ou système ou de solutions de contournement si nécessaire. Nos équipes de sécurité et d'ingénierie surveillent notre environnement, nos sous-traitants essentiels et nos fournisseurs pour détecter la présence de ces vulnérabilités, les tentatives d'attaques et les avis des parties tierces sous contrat.

Nous mettrons à jour cette page au fur et à mesure des informations obtenues.Notre équipe de sécurité s'efforce d'assurer la protection de nos systèmes en fonction de l'évolution des recommandations des chercheurs en sécurité. Nous ne sommes donc pas en mesure de fournir des réponses personnalisées. Pour obtenir plus d'informations sur notre stratégie de réponse, reportez-vous aux questions fréquemment posées ci-dessous. 

Avez-vous effectué une mise à jour vers une version plus sûre du framework Spring ?

Dès que des versions vulnérables du framework Spring ou d'offres associées étaient auparavant utilisées, nous avons entrepris des efforts de remédiation minutieux, comme la mise à jour vers une version plus récente recommandée ou la mise en œuvre de solutions de contournement recommandées. Nous avons également ajusté nos couches de défense afin de protéger nos systèmes de manière plus globale.

Quand la correction sera-t-elle terminée ?

L'équipe de sécurité d'Udemy suit les recommandations des experts en sécurité et des fournisseurs au fur et à mesure que les modèles d'attaque des vulnérabilités du framework Spring évoluent, et nos efforts de correction et d'atténuation se poursuivront à mesure que ces recommandations seront partagées. 

Les données des clients ont-elles été compromises ?

À l'heure actuelle, rien n'indique que cette vulnérabilité a eu des répercussions négatives sur des entreprises ou des données personnelles. 

Demandez-vous aux fournisseurs tiers utilisés dans votre environnement quel est l'impact de la vulnérabilité du framework Spring sur leurs solutions ?

Udemy a contacté les sous-traitants principaux d'Udemy Business et met à jour les outils au fur et à mesure de leur publication par les fournisseurs.

Si vos utilisateurs accèdent à leur compte Udemy Business via votre réseau d'entreprise, votre service informatique devra peut-être inscrire plusieurs domaines et sous-domaines sur liste verte pour garantir le bon fonctionnement de certaines fonctionnalités. 

Cet article indique les domaines et sous-domaines qui auront peut-être besoin d'être inscrits sur liste verte pour certaines fonctionnalités Udemy Business.

Inscrire du contenu sur liste verte (diffusion de vidéos)

Si vos utilisateurs rencontrent des problèmes importants de dégradation des performances (par exemple, des retards à la lecture) lors de la diffusion de vidéos et de la visualisation de contenu via votre réseau d'entreprise, inscrivez les domaines de diffusion de vidéos Udemy Business sur liste verte. 

Pour vous assurer que vos utilisateurs peuvent visionner le contenu Udemy Business sans problème, demandez à votre service informatique d'inscrire sur liste verte le domaine de diffusion vidéo suivant sur vos pare-feu et passerelles réseau : *.udemycdn.com.

Vous rencontrez encore des problèmes liés à la diffusion ? Si le problème persiste après l'inscription du domaine sur liste verte par le service informatique de votre entreprise, informez les utilisateurs concernés par le problème qu'ils doivent contacter le support Udemy Business et fournir un fichier HAR à notre équipe. Les informations contenues dans le fichier HAR aideront nos ingénieurs à identifier le problème afin qu'ils puissent commencer à travailler sur la résolution.

Inscrire sur liste verte des e-mails

Si les pare-feu de votre entreprise sont plutôt restrictifs (c'est-à-dire s'ils bloquent certains sites fréquemment utilisés), il vous faudra inscrire sur liste verte les domaines d'envoi d'e-mails suivants d'Udemy Business (ainsi que tous leurs sous-domaines) afin de recevoir les e-mails d'invitation, de réinitialisation de mot de passe et autres e-mails importants.

• a) *.udemy.com 
• b) *.udemymail.com

Important : assurez-vous de vérifier auprès de votre fournisseur de messagerie que la bonne méthode consiste à inscrire tous les sous-domaines d'un domaine donné sur liste verte, car la procédure peut varier selon les fournisseurs. Si les sous-domaines ne sont pas correctement inscrits, l'envoi d'e-mails par l'expéditeur Udemy Business à partir de ces domaines pourrait être bloqué.

Téléchargements des rapports d'inscription sur liste verte

Si le pare-feu de votre entreprise est plutôt restrictif, c'est-à-dire s'il bloque certains sites fréquemment utilisés, il vous faudra inscrire sur liste verte le site suivant afin de pouvoir télécharger les rapports.

• *amazon.com

Mettre des exercices d'application et des espaces de travail sur liste verte (utilisateurs d'Udemy Business Pro)

Les utilisateurs d'Udemy Business Pro qui accèdent à Udemy Business depuis leur réseau d'entreprise devront demander à leur service informatique d'inscrire les domaines suivants sur liste verte afin de garantir le bon fonctionnement des espaces de travail et des exercices d'application.

• *.udemy.com
• *.udemycdn.com
• *.udemylabs.com
• *.vocareum.com
• *.amazon.com

Inscriptions sur liste verte pour Azure

Les inscriptions sur liste verte que Microsoft recommande pour Azure peuvent être consultées dans cette ressource Microsoft.

Récemment, des chercheurs en sécurité ont identifié une vulnérabilité d'exécution de code à distance (RCE) (CVE-2021-44228) affectant l'outil Log4J d'Apache, un utilitaire de journalisation basé sur Java utilisé par de nombreux fournisseurs de logiciels.

Depuis la découverte de ce problème, l'équipe de sécurité d'Udemy a travaillé assidûment pour analyser et protéger les systèmes d'Udemy. À l'heure actuelle, rien n'indique que cette vulnérabilité a eu des répercussions négatives sur des entreprises ou des données personnelles. Nous continuons à étudier l'impact de cette vulnérabilité sur notre infrastructure et nos applications. 

Pour les vulnérabilités à haut risque et à fort impact comme celle-ci, nos équipes prennent un certain nombre de mesures immédiates, notamment des tests pour confirmer les niveaux de vulnérabilité, la restriction des connexions réseau et l'application de mises à jour logicielles ou système ou de solutions de contournement si nécessaire. Nos équipes de sécurité et d'ingénierie surveillent notre environnement, nos sous-traitants essentiels et nos fournisseurs pour détecter la présence de cette vulnérabilité, les tentatives d'attaques et les avis des parties tierces sous contrat.

Nous mettrons à jour cette page au fur et à mesure des informations obtenues. Notre équipe de sécurité s'efforce d'assurer la protection de nos systèmes en fonction de l'évolution des recommandations des chercheurs en sécurité. Nous ne sommes donc pas en mesure de fournir des réponses personnalisées. Pour obtenir plus d'informations sur notre stratégie de réponse, reportez-vous aux questions fréquemment posées ci-dessous. 

Avez-vous effectué une mise à jour vers une version plus sûre de Log4J (2.0-2.14.1) ?

Dès que des versions vulnérables de Log4J étaient auparavant utilisées, nous avons entrepris des efforts de remédiation minutieux, comme la mise à jour vers une version plus récente recommandée ou la mise en œuvre de solutions de contournement recommandées. Nous avons également ajusté nos couches de défense (par exemple, en ajoutant des restrictions supplémentaires pour les connexions réseau entrantes et sortantes) afin de protéger nos systèmes de manière plus globale.

Quand la correction sera-t-elle terminée ?

L'équipe de sécurité d'Udemy suit les recommandations des experts en sécurité et des fournisseurs au fur et à mesure que les modèles d'attaque de la vulnérabilité Log4J évoluent, et nos efforts de correction et d'atténuation se poursuivront à mesure que ces recommandations seront partagées. 

Les données des clients ont-elles été compromises ?

À l'heure actuelle, rien n'indique que cette vulnérabilité a eu des répercussions négatives sur des entreprises ou des données personnelles. 

Demandez-vous aux fournisseurs tiers utilisés dans votre environnement quel est l'impact de la vulnérabilité Log4J sur leurs solutions ?

Udemy a contacté les fournisseurs et mis à jour les outils au fur et à mesure de leur publication par les fournisseurs. Nous surveillons également les listes agrégées d'experts en sécurité pour nous assurer que nous répondons aux autres mesures d'atténuation recommandées, outil par outil.

Si vos utilisateurs ne peuvent pas se connecter après avoir été invités à rejoindre votre compte Udemy Business, demandez-leur d'abord de réinitialiser leur mot de passe. Si cela ne règle pas le problème, demandez-leur de soumettre un billet de support. Un membre de notre équipe de support leur répondra dans un délai de 24 heures.

Si vous avez configuré l'authentification unique pour Udemy Business contactez le service informatique de votre entreprise pour vous assurer que l'accès à Udemy Business a été accordé à vos utilisateurs par le biais de votre fournisseur d'authentification unique.

Si le pare-feu de votre entreprise est plutôt restrictif, c'est-à-dire s'il bloque certains sites fréquemment utilisés, il vous faudra inscrire sur liste verte les e-mails Udemy afin d'utiliser la fonction de réinitialisation du mot de passe. Découvrez-en plus sur l'inscription sur liste verte des domaines et des sous-domaines d'envoi d'emails pour Udemy Business.