Publicado originalmente el 10 de diciembre de 2021 a las 5:35 p. m. CT
Workiva está al tanto del CVE de Apache Log4j2 (CVE-2021-44228) y continuará investigando la situación a medida que evolucione.
Workiva utiliza la biblioteca log4j2 en algunos componentes de la plataforma Workiva. Hemos parcheado e implementado versiones corregidas de la biblioteca en nuestro entorno de producción. Además, estamos trabajando con nuestros proveedores y socios para identificar cualquier posible impacto ascendente.
Workiva se toma muy en serio la seguridad de los datos de nuestros clientes. A medida que continuamos monitoreando la situación, si determinamos que hay algún impacto en la Plataforma Workiva, tomaremos todas las medidas apropiadas para ayudar a proteger a nuestros clientes.
Actualización: 16 de diciembre de 2021 a las 16:17 CT
Debido a la vulnerabilidad recientemente informada con la versión 2.15 de log4j (CVE-2021-45046), Workiva ha parcheado nuestro uso de la biblioteca a la versión 2.16 en todos los entornos. Seguimos trabajando con nuestros terceros para identificar y mitigar cualquier impacto ascendente.
Hasta la fecha, no ha habido ningún impacto en nuestra plataforma ni en los datos de nuestros clientes. Si eso cambia, notificaremos a los clientes afectados sin demora indebida.
Actualización: 22 de diciembre de 2021 a las 9:21 a. m. CT
Debido a la vulnerabilidad recientemente informada con la versión 2.16 de log4j (CVE-2021-45105), Workiva ha parcheado nuestro uso interno de la biblioteca a la versión 2.17 en todos los entornos. Workiva está trabajando con nuestros terceros para garantizar que tengamos versiones actualizadas de su software disponibles e implementadas en nuestro entorno antes del 24 de diciembre.
Hasta la fecha, no ha habido ningún impacto en nuestra plataforma ni en los datos de nuestros clientes. Si eso cambia, notificaremos a los clientes afectados sin demora indebida.
Actualización: 12 de enero de 2022 a las 8:33 a. m. CT
Los sistemas Workiva fueron completamente parcheados a Log4j2 2.17 a partir del 24 de diciembre de 2021. Aunque Workiva ha investigado y determinado que no somos vulnerables al CVE más reciente (CVE-2021-44832), también estamos parcheando todos los sistemas a la versión 2.17.1 según nuestros plazos de parcheo estándar.
Seguimos trabajando con nuestros terceros para identificar y mitigar cualquier impacto ascendente.
Actualización: 29 de marzo de 2022 a las 15:53 CT
Workiva ha parcheado nuestro uso de la biblioteca y actualizado el software proporcionado por terceros a log4j 2.17.1 en todos los entornos.
Hasta la fecha, no ha habido ningún impacto en nuestra plataforma ni en los datos de nuestros clientes. Si eso cambia, notificaremos a los clientes afectados sin demora indebida.