Ursprünglich gepostet Dec 10, 2021 @ 5:35pm CT
Workiva ist sich des Apache Log4j2 CVE (CVE-2021-44228) bewusst und wird die Situation weiter untersuchen.
Workiva verwendet die log4j2-Bibliothek in einigen Komponenten der Workiva-Plattform. Wir haben die korrigierten Versionen der Bibliothek gepatcht und in unserer Produktionsumgebung bereitgestellt. Darüber hinaus arbeiten wir mit unseren Anbietern und Partnern zusammen, um mögliche Auswirkungen auf vorgelagerte Bereiche zu ermitteln.
Workiva nimmt den Schutz und die Sicherheit der Daten unserer Kunden ernst. Wir beobachten die Situation weiter und werden, wenn wir feststellen, dass die Workiva-Plattform betroffen ist, alle geeigneten Maßnahmen ergreifen, um unsere Kunden zu schützen.
Aktualisierung: Dec 16, 2021 @ 4:17pm CT
Aufgrund der neu gemeldeten Sicherheitslücke in der Version 2.15 von log4j (CVE-2021-45046), hat Workiva unsere Nutzung der Bibliothek in allen Umgebungen auf die Version 2.16 gepatcht. Wir arbeiten weiterhin mit unseren Drittanbietern zusammen, um alle vorgelagerten Auswirkungen zu identifizieren und abzumildern.
Bislang gab es keine Auswirkungen auf unsere Plattform oder Kundendaten. Sollte sich dies ändern, werden wir die betroffenen Kunden ohne unnötige Verzögerung informieren.
Aktualisierung: 22. Dezember 2021 @ 9:21 Uhr CT
Aufgrund der neu gemeldeten Sicherheitslücke in der Version 2.16 von log4j (CVE-2021-45105), hat Workiva unsere interne Nutzung der Bibliothek in allen Umgebungen auf die Version 2.17 gepatcht. Workiva arbeitet mit unseren Drittanbietern zusammen, um sicherzustellen, dass wir bis zum 24. Dezember aktualisierte Versionen ihrer Software zur Verfügung haben und diese in unserer Umgebung einsetzen können.
Bislang gab es keine Auswirkungen auf unsere Plattform oder Kundendaten. Sollte sich dies ändern, werden wir die betroffenen Kunden ohne unnötige Verzögerung informieren.
Aktualisierung: Jan 12, 2022 @ 8:33am CT
Die Workiva-Systeme wurden am 24. Dezember 2021 vollständig auf Log4j2 2.17 gepatcht. Obwohl Workiva untersucht und festgestellt hat, dass wir nicht für die neueste CVE (CVE-2021-44832) anfällig sind, patchen wir zusätzlich alle Systeme auf 2.17.1 im Rahmen unserer Standard-Patching-Zeitpläne.
Wir arbeiten weiterhin mit unseren Drittanbietern zusammen, um alle vorgelagerten Auswirkungen zu identifizieren und abzumildern.
Update: 29. März 2022 @ 3:53pm CT
Workiva hat die von uns verwendete Bibliothek gepatcht und die von Drittanbietern bereitgestellte Software in allen Umgebungen auf log4j 2.17.1 aktualisiert.
Bislang gab es keine Auswirkungen auf unsere Plattform oder Kundendaten. Sollte sich dies ändern, werden wir die betroffenen Kunden ohne unnötige Verzögerung informieren.