Publicado originalmente em 10 de dezembro de 2021 às 17:35 CT
A Workiva está ciente do CVE do Apache Log4j2 (CVE-2021-44228 e continuará a investigar a situação à medida que ela evolui.
A Workiva utiliza a biblioteca log4j2 em alguns componentes da Workiva Platform. Fizemos correções e implementamos versões corrigidas da biblioteca em nosso ambiente de produção. Além disso, estamos trabalhando com nossos fornecedores e parceiros para identificar qualquer possível impacto upstream.
A Workiva leva a sério a segurança e a proteção dos dados de nossos clientes. Enquanto continuamos a monitorar a situação, se determinarmos que há algum impacto na Plataforma Workiva, tomaremos todas as medidas apropriadas para ajudar a proteger nossos clientes.
Atualização: 16 de dezembro de 2021 às 16:17 CT
Devido à vulnerabilidade recentemente relatada na versão 2.15 do log4j (CVE-2021-45046), a Workiva corrigiu o uso da biblioteca para a versão 2.16 em todos os ambientes. Continuamos a trabalhar com nossos terceiros para identificar e mitigar qualquer impacto upstream.
Até o momento, não houve impacto em nossa plataforma ou nos dados dos clientes. Se isso mudar, notificaremos os clientes afetados sem atrasos indevidos.
Atualização: 22 de dezembro de 2021 às 9h21 CT
Devido à vulnerabilidade recentemente relatada na versão 2.16 do log4j (CVE-2021-45105), a Workiva corrigiu nosso uso interno da biblioteca para a versão 2.17 em todos os ambientes. A Workiva está trabalhando com nossos terceiros para garantir que tenhamos versões atualizadas de seus softwares disponíveis e implantadas em nosso ambiente até 24 de dezembro.
Até o momento, não houve impacto em nossa plataforma ou nos dados dos clientes. Se isso mudar, notificaremos os clientes afetados sem atrasos indevidos.
Atualização: 12 de janeiro de 2022 às 8h33 CT
Os sistemas Workiva foram totalmente corrigidos para o Log4j2 2.17 em 24 de dezembro de 2021. Embora a Workiva tenha investigado e determinado que não estamos vulneráveis ao mais novo CVE (CVE-2021-44832), também estamos corrigindo todos os sistemas para a versão 2.17.1 de acordo com nossos cronogramas de correção padrão.
Continuamos a trabalhar com nossos terceiros para identificar e mitigar qualquer impacto upstream.
Atualização: 29 de março de 2022 às 15h53 CT
A Workiva corrigiu o uso da biblioteca e atualizou o software fornecido por terceiros para o log4j 2.17.1 em todos os ambientes.
Até o momento, não houve impacto em nossa plataforma ou nos dados dos clientes. Se isso mudar, notificaremos os clientes afetados sem atrasos indevidos.