Oorspronkelijk geplaatst 10 Dec 2021 @ 5:35pm CT
Workiva is zich bewust van de Apache Log4j2 CVE (CVE-2021-44228), en zal de situatie blijven onderzoeken naarmate deze zich ontwikkelt.
Workiva gebruikt de log4j2 bibliotheek in sommige componenten van het Workiva Platform. We hebben vaste versies van de bibliotheek gepatcht en uitgerold naar onze productieomgeving. Daarnaast werken we samen met onze leveranciers en partners om mogelijke upstream gevolgen te identificeren.
Workiva neemt de veiligheid en beveiliging van de gegevens van onze klanten serieus. We blijven de situatie volgen en als we vaststellen dat er een impact is op het Workiva Platform, zullen we alle gepaste maatregelen nemen om onze klanten te helpen beschermen.
Update: 16 Dec 2021 @ 16:17pm CT
Als gevolg van de onlangs gerapporteerde kwetsbaarheid met de 2.15 versie van log4j (CVE-2021-45046), heeft Workiva ons gebruik van de bibliotheek gepatcht naar de 2.16 versie in alle omgevingen. We blijven samenwerken met onze derde partijen om eventuele gevolgen stroomopwaarts te identificeren en te beperken.
Tot op heden zijn er geen gevolgen geweest voor ons platform of onze klantgegevens. Als dit verandert, zullen we de getroffen klanten hiervan zonder onnodige vertraging op de hoogte stellen.
Update: 22 Dec 2021 @ 9:21am CT
Als gevolg van de onlangs gerapporteerde kwetsbaarheid met de 2.16 versie van log4j (CVE-2021-45105), heeft Workiva ons interne gebruik van de bibliotheek gepatcht naar de 2.17 versie in alle omgevingen. Workiva werkt samen met onze derde partijen om ervoor te zorgen dat we voor 24 december bijgewerkte versies van hun software beschikbaar en geïmplementeerd hebben in onze omgeving.
Tot op heden zijn er geen gevolgen geweest voor ons platform of onze klantgegevens. Als dit verandert, zullen we de getroffen klanten hiervan zonder onnodige vertraging op de hoogte stellen.
Update: 12 jan 2022 @ 8:33am CT
Workiva systemen waren vanaf 24 december 2021 volledig gepatcht naar Log4j2 2.17. Hoewel Workiva heeft onderzocht en vastgesteld dat we niet kwetsbaar zijn voor de nieuwste CVE (CVE-2021-44832), patchen we daarnaast alle systemen naar 2.17.1 volgens onze standaard patchtijdlijnen.
We blijven samenwerken met onze derde partijen om eventuele gevolgen stroomopwaarts te identificeren en te beperken.
Update: 29 maart 2022 @ 15:53pm CT
Workiva heeft ons gebruik van de bibliotheek gepatcht, en software van derden bijgewerkt naar log4j 2.17.1 voor alle omgevingen.
Tot op heden zijn er geen gevolgen geweest voor ons platform of onze klantgegevens. Als dit verandert, zullen we de getroffen klanten hiervan zonder onnodige vertraging op de hoogte stellen.