Opprinnelig lagt ut 10. desember 2021 @ 5:35pm CT
Workiva er klar over Apache Log4j2 CVE (CVE-2021-44228), og vil fortsette å undersøke situasjonen etter hvert som den utvikler seg.
Workiva bruker log4j2-biblioteket i enkelte komponenter i Workiva-plattformen. Vi har oppdatert og distribuert korrigerte versjoner av biblioteket til produksjonsmiljøet vårt. I tillegg samarbeider vi med leverandørene og partnerne våre for å identifisere eventuelle konsekvenser oppstrøms.
Workiva tar sikkerheten til våre kunders data på alvor. Vi fortsetter å overvåke situasjonen, og hvis vi finner ut at Workiva-plattformen påvirkes, vil vi iverksette alle nødvendige tiltak for å beskytte kundene våre.
Oppdatering: 16. desember 2021 @ 4:17pm CT
På grunn av den nylig rapporterte sårbarheten i 2.15-versjonen av log4j (CVE-2021-45046), har Workiva oppdatert vår bruk av biblioteket til 2.16-versjonen i alle miljøer. Vi fortsetter å samarbeide med tredjeparter for å identifisere og redusere eventuelle oppstrømseffekter.
Hittil har det ikke vært noen innvirkning på plattformen eller kundedataene våre. Hvis dette endres, vil vi varsle berørte kunder uten unødig forsinkelse.
Oppdatering: 22. desember 2021 @ 9:21 CT
På grunn av den nylig rapporterte sårbarheten i 2.16-versjonen av log4j (CVE-2021-45105), har Workiva oppdatert vår interne bruk av biblioteket til 2.17-versjonen i alle miljøer. Workiva samarbeider med tredjepartene våre for å sikre at vi har oppdaterte versjoner av programvaren deres tilgjengelig og utplassert i vårt miljø innen 24. desember.
Hittil har det ikke vært noen innvirkning på plattformen eller kundedataene våre. Hvis dette endres, vil vi varsle berørte kunder uten unødig forsinkelse.
Oppdatering: 12. januar 2022 kl. 08:33 CT
Workiva-systemene ble fullstendig oppdatert til Log4j2 2.17 per 24. desember 2021. Selv om Workiva har undersøkt og fastslått at vi ikke er sårbare for den nyeste CVE-en (CVE-2021-44832), patcher vi i tillegg alle systemer til 2.17.1 i henhold til våre standard tidslinjer for patching.
Vi fortsetter å samarbeide med tredjeparter for å identifisere og redusere eventuelle oppstrømseffekter.
Oppdatering: 29. mars 2022 @ 15:53 CT
Workiva har oppdatert vår bruk av biblioteket, og oppdatert tredjeparts programvare, til log4j 2.17.1 i alle miljøer.
Hittil har det ikke vært noen innvirkning på plattformen eller kundedataene våre. Hvis dette endres, vil vi varsle berørte kunder uten unødig forsinkelse.