Publié à l'origine le 10 décembre 2021 @ 17:35pm CT
Workiva est au courant de la CVE Apache Log4j2 (CVE-2021-44228), et continuera d'enquêter sur la situation au fur et à mesure de son évolution.
Workiva utilise la bibliothèque log4j2 dans certains composants de la plateforme Workiva. Nous avons apporté des correctifs et déployé des versions corrigées de la bibliothèque dans notre environnement de production. En outre, nous travaillons avec nos fournisseurs et nos partenaires pour identifier tout impact potentiel en amont.
Workiva prend au sérieux la sécurité des données de ses clients. Alors que nous continuons à surveiller la situation, si nous déterminons qu'il y a un impact sur la plateforme Workiva, nous prendrons toutes les mesures appropriées pour aider à protéger nos clients.
Mise à jour : 16 décembre 2021 @ 4:17pm CT
En raison de la vulnérabilité récemment rapportée avec la version 2.15 de log4j (CVE-2021-45046), Workiva a mis à jour son utilisation de la bibliothèque avec la version 2.16 dans tous les environnements. Nous continuons à travailler avec nos tiers pour identifier et atténuer tout impact en amont.
À ce jour, il n'y a pas eu d'impact sur notre plateforme ou sur les données de nos clients. En cas de modifications, nous informerons les clients concernés dans les plus brefs délais.
Mise à jour : 22 décembre 2021 @ 9:21am CT
En raison de la vulnérabilité récemment rapportée avec la version 2.16 de log4j (CVE-2021-45105), Workiva a patché son utilisation interne de la bibliothèque vers la version 2.17 dans tous les environnements. Workiva travaille avec nos tiers pour s'assurer que les versions mises à jour de leurs logiciels sont disponibles et déployées dans notre environnement d'ici le 24 décembre.
À ce jour, il n'y a pas eu d'impact sur notre plateforme ou sur les données de nos clients. En cas de modifications, nous informerons les clients concernés dans les plus brefs délais.
Mise à jour : 12 janvier 2022 @ 8:33am CT
Les systèmes Workiva ont été entièrement corrigés vers Log4j2 2.17 en date du 24 décembre 2021. Bien que Workiva ait enquêté et déterminé que nous ne sommes pas vulnérables à la dernière CVE (CVE-2021-44832), nous patchons également tous les systèmes vers la version 2.17.1 dans le cadre de nos calendriers de patching habituels.
Nous continuons à travailler avec nos tiers pour identifier et atténuer tout impact en amont.
Mise à jour : 29 mars 2022 @ 15:53pm CT
Workiva a corrigé son utilisation de la bibliothèque, et mis à jour les logiciels fournis par des tiers, pour passer à log4j 2.17.1 dans tous les environnements.
À ce jour, il n'y a pas eu d'impact sur notre plateforme ou sur les données de nos clients. En cas de modifications, nous informerons les clients concernés dans les plus brefs délais.