Ursprungligen publicerad 10 december 2021 @ 5:35pm CT
Workiva är medveten om Apache Log4j2 CVE (CVE-2021-44228) och kommer att fortsätta att undersöka situationen när den utvecklas.
Workiva använder log4j2-biblioteket i vissa komponenter i Workiva Platform. Vi har patchat och distribuerat korrigerade versioner av biblioteket till vår produktionsmiljö. Dessutom arbetar vi med våra leverantörer och partners för att identifiera eventuell påverkan uppströms.
Workiva tar säkerheten och tryggheten för våra kunders data på allvar. Vi fortsätter att övervaka situationen och om vi bedömer att Workiva Platform påverkas kommer vi att vidta alla lämpliga åtgärder för att skydda våra kunder.
Uppdatering: 16 december 2021 @ 4:17pm CT
På grund av den nyligen rapporterade sårbarheten med 2.15-versionen av log4j (CVE-2021-45046) har Workiva patchat vår användning av biblioteket till 2.16-versionen i alla miljöer. Vi fortsätter att arbeta med våra tredje parter för att identifiera och mildra eventuell påverkan uppströms.
Hittills har det inte varit någon påverkan på vår plattform eller kunddata. Om detta ändras kommer vi att meddela berörda kunder utan onödigt dröjsmål.
Uppdatering: 22 december 2021 @ 9:21am CT
På grund av den nyligen rapporterade sårbarheten med 2.16-versionen av log4j (CVE-2021-45105) har Workiva patchat vår interna användning av biblioteket till 2.17-versionen i alla miljöer. Workiva arbetar med våra tredje parter för att säkerställa att vi har uppdaterade versioner av deras programvara tillgängliga och distribuerade i vår miljö senast den 24 december.
Hittills har det inte varit någon påverkan på vår plattform eller kunddata. Om detta ändras kommer vi att meddela berörda kunder utan onödigt dröjsmål.
Uppdatering: 12 januari 2022 @ 8:33am CT
Workiva-system var fullt patchade till Log4j2 2.17 den 24 december 2021. Även om Workiva har undersökt och fastställt att vi inte är sårbara för den senaste CVE (CVE-2021-44832), patchar vi dessutom alla system till 2.17.1 enligt våra vanliga patching-tidslinjer.
Vi fortsätter att arbeta med våra tredje parter för att identifiera och mildra eventuell påverkan uppströms.
Uppdatering: 29 mars 2022 @ 3:53pm CT
Workiva har patchat vår användning av biblioteket, och uppdaterat programvara från tredje part, till log4j 2.17.1 i alla miljöer.
Hittills har det inte varit någon påverkan på vår plattform eller kunddata. Om detta ändras kommer vi att meddela berörda kunder utan onödigt dröjsmål.