Recent is er een kritieke zero-day kwetsbaarheid geconstateerd in de Apache Log4j. Deze Java-gebaseerde logging library wordt momenteel online gedeeld, waardoor zowel thuisgebruikers als bedrijven worden blootgesteld aan aanvallen op het uitvoeren van externe code. Log4j is ontwikkeld door de Apache Foundation en wordt veel gebruikt door zowel zakelijke apps als clouddiensten. Log4j is een populaire Java logging bibliotheek en wordt vaak gebruikt in code ontwikkelingen.
Het beveiligingslek is van invloed op Apache Log4j versies 2.0 tot en met 2.14.1.
Meer informatie is te lezen op: CVE – CVE-2021-44228 (mitre.org)
Vanuit de leveranciers verkregen informatie leert ons dat Java alleen wordt gebruikt in onderstaande software oplossingen:
- SmartCOMM; De kwetsbaarheid treedt alleen op in de SmartCOMM appliance, hiervoor is een patch uitgebracht.
- Ephesoft: Hiervoor is een patch uitgebracht.
- OpenText: Log4j wordt gebruikt in onderstaande componenten.
- Exstream wordt enkel gebruikt in migrator en bootstrap (geen risico).
- OpenText Directory Services (geen risico wordt versie log4j versie 1 gebruikt.)
- Mendix: Geen last van de kwetsbaarheid
Inmiddels hebben wij actie ondernomen richting onze klanten, mocht u nog vragen hebben, dan verzoeken wij u contact op te nemen middels een mail aan support@nokavision.com.