投稿日時:2021年12月10日 5:35pm CT
Workiva は Apache Log4j2 の CVE (CVE-2021-44228) を認識しており、状況の進展に応じて調査を継続します。
Workiva は、Workiva Platform の一部のコンポーネントで log4j2 ライブラリを利用しています。私たちはパッチを適用し、本番環境に修正版のライブラリを配備しました。さらに、ベンダーやパートナーと協力して、上流への潜在的な影響を特定しています。
Workivaは、お客様のデータの安全性とセキュリティに真剣に取り組んでいます。引き続き状況を監視し、Workiva Platformに何らかの影響があると判断した場合は、お客様を保護するためにあらゆる適切な措置を講じます。
更新: 12月 16, 2021 @ 4:17pm CT
log4jの2.15バージョン(CVE-2021-45046 )で新たに報告された脆弱性のため、Workivaは、すべての環境にわたって2.16バージョンにライブラリの私たちの使用のパッチを適用しました。私たちはサードパーティと協力して、上流への影響を特定し、軽減する努力を続けています。
現在までのところ、当社のプラットフォームや顧客データへの影響はありません。変更があった場合は、影響を受けるお客様に過度な遅延なく通知します。
更新: 12月 22, 2021 @ 9:21am CT
log4jの2.16バージョン(CVE-2021-45105 )で新たに報告された脆弱性のため、Workivaは、すべての環境にわたって2.17バージョンにライブラリの私たちの内部使用のパッチを適用しました。Workivaは、12月24日までにサードパーティのソフトウェアの更新版を入手し、私たちの環境に導入できるよう、サードパーティと協力しています。
現在までのところ、当社のプラットフォームや顧客データへの影響はありません。変更があった場合は、影響を受けるお客様に過度な遅延なく通知します。
更新:2022年1月12日午前8時33分(米東部時間
Workivaシステムは、2021年12月24日現在、Log4j2 2.17に完全にパッチされています。Workivaは調査した結果、最新のCVE(CVE-2021-44832 )に対する脆弱性はないと判断しましたが、標準的なパッチ適用スケジュールのもと、すべてのシステムに2.17.1への追加パッチを適用しています。
私たちはサードパーティと協力して、上流への影響を特定し、軽減する努力を続けています。
更新:2022年3月29日午後3時53分(米東部時間
Workivaは、ライブラリの私たちの使用法にパッチを当て、サードパーティが提供するソフトウェアを、すべての環境でlog4j 2.17.1に更新しました。
現在までのところ、当社のプラットフォームや顧客データへの影響はありません。変更があった場合は、影響を受けるお客様に過度な遅延なく通知します。