原文发表于美国中部时间 2021 年 12 月 10 日 @ 下午 5:35
Workiva 意识到 Apache Log4j2 CVE (CVE-2021-44228) 的存在,并将随着情况的发展继续进行调查。
Workiva 平台的某些组件使用了 log4j2 库。我们已在生产环境中修补并部署了修复版本的程序库。此外,我们正在与供应商和合作伙伴合作,以确定任何潜在的上游影响。
Workiva 非常重视客户数据的安全和保障。随着我们对情况的持续监控,如果我们确定 Workiva 平台受到任何影响,我们将采取一切适当措施帮助保护我们的客户。
更新:美国中部时间 2021 年 12 月 16 日 @ 下午 4:17
由于新报告的 log4j 2.15 版本漏洞(CVE-2021-45046),Workiva 已将所有环境中使用的该库修补到 2.16 版本。我们将继续与第三方合作,确定并减轻任何上游影响。
迄今为止,我们的平台或客户数据没有受到任何影响。如果情况有变,我们将及时通知受影响的客户。
更新时间:美国中部时间 2021 年 12 月 22 日 @ 上午 9:21
由于新报告的 log4j 2.16 版本漏洞(CVE-2021-45105),Workiva 已将我们内部使用的该库修补到所有环境下的 2.17 版本。Workiva 正在与第三方合作,确保在 12 月 24 日之前在我们的环境中部署其软件的更新版本。
迄今为止,我们的平台或客户数据没有受到任何影响。如果情况有变,我们将及时通知受影响的客户。
更新:2022 年 1 月 12 日 @ 美国中部时间上午 8:33
截至 2021 年 12 月 24 日,Workiva 系统已完全修补至 Log4j2 2.17。尽管 Workiva 已经调查并确定我们不会受到最新 CVE(CVE-2021-44832)的影响,但我们仍根据标准补丁时间表将所有系统补丁升级到 2.17.1。
我们将继续与第三方合作,确定并减轻任何上游影响。
更新:美国中部时间 2022 年 3 月 29 日下午 3:53
Workiva 已在所有环境中将我们对该库的使用以及第三方提供的软件更新至 log4j 2.17.1。
迄今为止,我们的平台或客户数据没有受到任何影响。如果情况有变,我们将及时通知受影响的客户。