Originally Posted Dec 10, 2021 @ 5:35 pm CT
Workiva jest świadoma CVE Apache Log4j2 (CVE-2021-44228) i będzie nadal badać sytuację w miarę jej rozwoju.
Workiva wykorzystuje bibliotekę log4j2 w niektórych komponentach platformy Workiva. Załataliśmy i wdrożyliśmy poprawione wersje biblioteki w naszym środowisku produkcyjnym. Ponadto współpracujemy z naszymi dostawcami i partnerami, aby zidentyfikować wszelkie potencjalne skutki.
Workiva poważnie traktuje bezpieczeństwo danych naszych klientów. Ponieważ nadal monitorujemy sytuację, jeśli stwierdzimy, że ma to jakikolwiek wpływ na platformę Workiva, podejmiemy wszelkie odpowiednie środki, aby pomóc chronić naszych klientów.
Aktualizacja: 16 grudnia 2021 @ 4:17 CT
Ze względu na nowo zgłoszoną lukę w wersji 2.15 log4j (CVE-2021-45046), Workiva załatała nasze użycie biblioteki do wersji 2.16 we wszystkich środowiskach. Kontynuujemy współpracę z naszymi stronami trzecimi w celu zidentyfikowania i złagodzenia wszelkich skutków.
Do tej pory nie odnotowano żadnego wpływu na naszą platformę lub dane klientów. Jeśli ulegnie to zmianie, bez zbędnej zwłoki powiadomimy o tym klientów, których to dotyczy.
Aktualizacja: 22 grudnia 2021 @ 9:21 CT
Ze względu na nowo zgłoszoną lukę w wersji 2.16 log4j (CVE-2021-45105), Workiva załatała nasze wewnętrzne wykorzystanie biblioteki do wersji 2.17 we wszystkich środowiskach. Workiva współpracuje z naszymi firmami zewnętrznymi, aby zapewnić, że zaktualizowane wersje ich oprogramowania będą dostępne i wdrożone w naszym środowisku do 24 grudnia.
Do tej pory nie odnotowano żadnego wpływu na naszą platformę lub dane klientów. Jeśli ulegnie to zmianie, bez zbędnej zwłoki powiadomimy o tym klientów, których to dotyczy.
Aktualizacja: 12 stycznia 2022 @ 8:33 CT
Systemy Workiva zostały w pełni załatane do wersji Log4j2 2.17 na dzień 24 grudnia 2021 r. Chociaż Workiva zbadała i ustaliła, że nie jesteśmy podatni na najnowsze CVE (CVE-2021-44832), dodatkowo łatamy wszystkie systemy do wersji 2.17.1 zgodnie z naszymi standardowymi harmonogramami łatania.
Kontynuujemy współpracę z naszymi stronami trzecimi w celu zidentyfikowania i złagodzenia wszelkich skutków.
Aktualizacja: 29 marca 2022 @ 3:53 CT
Firma Workiva wprowadziła poprawki do biblioteki log4j 2.17.1 we wszystkich środowiskach i zaktualizowała oprogramowanie dostarczane przez inne firmy.
Do tej pory nie odnotowano żadnego wpływu na naszą platformę lub dane klientów. Jeśli ulegnie to zmianie, bez zbędnej zwłoki powiadomimy o tym klientów, których to dotyczy.