FAQ sur la vulnérabilité Log4j pour LastPass

La version officielle de ce contenu est en anglais. Une partie du contenu de la documentation GoTo a été traduit automatiquement pour en faciliter l’accès. GoTo n’a aucun contrôle sur le contenu traduit automatiquement, qui peut contenir des erreurs, des inexactitudes ou des termes inappropriés. Aucune garantie n’est émise, expresse ou implicite, quant à l’exactitude, la fiabilité, l’adéquation ou la justesse de toute traduction de l’original anglais vers toute autre langue, et GoTo ne peut pas être tenu responsable de tout dommage ou problème lié l’utilisation que vous faites de ce contenu traduit automatiquement ou de la confiance que vous pourriez accorder à ce contenu.

Veuillez consulter les informations importantes concernant la vulnérabilité Log4j ci-dessous.

Quelle est la vulnérabilité ?

Le 10 décembre, une vulnérabilité de type jour zéro affectant un outil de journalisation open source très utilisé qui fait partie des Services de journalisation Apache appelé Log4j a touché un sous-ensemble important de l’industrie du logiciel.
Une deuxième vulnérabilité impliquant Apache Log4j A été trouvée le 1er décembre du 14 décembre.
Avec cette vulnérabilité, pour les personnes concernées, il est possible que un pirate puisse accéder aux messages journaux ou aux paramètres de LDAP ou à toute autre Interface de Java Naming Directory (JIP) et peut ensuite tenter d'exécuter un code à partir de serveurs distants.

LastPass est-il impacté?

En étant conscient de la vulnérabilité, LastPass a lancé une enquête pour déterminer si une action supplémentaire est nécessaire pour atténuer la vulnérabilité. Cette enquête, pour le moment, n'a pas trouvé de compromission, et il n'y a aucune action requise pour la plupart des LastPass clients.
Dans le cadre de l'enquête, notre équipe a lancé une mise à jour pour les clients LastPass MFA utilisant Universal Proxy sous Windows avec la journalisation de débogage activée et ces clients sont fortement recommandés pour mettre à jour la version la plus récente d'Universal Proxy 3.0.3 ou 4.1.3.
Aucune action n'est requise si vous n 'êtes actuellement pas un client LastPass MFA utilisant Universal Proxy sur Windows avec la journalisation de débogage activée.

Qu'est-ce que LastPass Universal Proxy?

Le Proxy LastPass Universal Proxy étend la portée de LastPass MFA aux applications sur site, telles que les VPN, pour un niveau de sécurité supplémentaire sur chaque connexion.
Veuillez trouver des instructions pour configurer Universal Proxy ici.

Dois-je faire quoi que ce soit ?

Les clients LastPass Free, premium, families, teams et Business n'ont aucune action.
Les clients LastPass MFA qui utilisent Universal Proxy sur Windows avec la journalisation de débogage sont fortement recommandés pour mettre à jour vers la nouvelle version d'Universal Proxy 3.0.3 ou 4.1.3.