最初發佈於 2021 年 12 月 10 日下午 5:35(中部時間)
Workiva 已意識到 Apache Log4j2 CVE(CVE-2021-44228),並將隨著情況的發展繼續調查。
Workiva 在 Workiva 平台的某些元件中使用了 log4j2 函式庫。我們已經修補了該程式庫的修復版本並將其部署到我們的生產環境中。此外,我們正在與我們的供應商和合作夥伴合作,以確定任何潛在的上游影響。
Workiva 非常重視客戶資料的安全性。隨著我們繼續監控情況,如果我們確定對 Workiva 平台有任何影響,我們將採取一切適當措施來幫助保護我們的客戶。
更新:2021 年 12 月 16 日下午 4:17(中部時間)
由於 log4j 2.15 版本中新報告的漏洞(CVE-2021-45046),Workiva 已將我們在所有環境中對該庫的使用修補至 2.16 版本。我們將繼續與第三方合作,以識別並減輕任何上游影響。
到目前為止,我們的平台或客戶數據都沒有受到影響。如果情況發生變化,我們將立即通知受影響的客戶。
更新:2021 年 12 月 22 日上午 9:21(中部時間)
由於 log4j 2.16 版本中新報告的漏洞(CVE-2021-45105),Workiva 已將我們在所有環境中對該庫的內部使用修補至 2.17 版本。Workiva 正在與我們的第三方合作,以確保我們能夠在 12 月 24 日之前在我們的環境中提供並部署其軟體的更新版本。
到目前為止,我們的平台或客戶數據都沒有受到影響。如果情況發生變化,我們將立即通知受影響的客戶。
更新:2022 年 1 月 12 日上午 8:33(中部時間)
截至 2021 年 12 月 24 日,Workiva 系統已完全修補至 Log4j2 2.17。儘管 Workiva 已調查並確定我們不易受到最新 CVE (CVE-2021-44832) 的攻擊,但我們仍將按照標準修補時間表將所有系統修補至 2.17.1。
我們將繼續與第三方合作,以識別並減輕任何上游影響。
更新:2022 年 3 月 29 日下午 3:53(中部時間)
Workiva 已修補了我們對該程式庫的使用,並更新了第三方提供的軟體,在所有環境中更新至 log4j 2.17.1。
到目前為止,我們的平台或客戶數據都沒有受到影響。如果情況發生變化,我們將立即通知受影響的客戶。