Multivers, Boekhoud Gemak en PaperLess:
Naar aanleiding van de kwetsbaarheid in het onderdeel Log4J van Apache heeft Software Gemak onderzoek gedaan naar het gebruik van dit component binnen hun producten: “al onze eigen producten zijn onderzocht en kunnen niet geraakt worden door deze kwetsbaarheid”.
Wholesale
Kerridge CS heeft onderzocht welke Wholesale applicaties gebruik maken van Apache Log4j en welke maatregelen er genomen moeten worden:
De Wholesale REST API maakt gebruik van de Progress OpenEdge 11.7 Application Server en deze maakt gebruik van de betreffende Apache library (als onderdeel van Apache Tomcat). Omdat de Wholesale REST API normaal gesproken alleen extern benaderbaar wordt gemaakt, gebruik makend van een whitelist, is het risico beperkt dat deze blootgesteld is of wordt.
Binnen het Continuous Delivery portaal van Wholesale is een controle ingebouwd die met ingang van gisteravond op alle Wholesale systemen een aanpassing heeft gedaan, waardoor de library niet meer gebruikt kan worden. Na deze aanpassing is Apache Tomcat een herstart. De Wholesale REST API is toen een aantal minuten niet beschikbaar geweest.
Is je Wholesale omgeving niet aangesloten op het Continuous Delivery portaal? Volg dan de instructies die we maandag middag 13 december via onze Wholesale nieuwsbrief gedeeld hebben. Heb je deze niet ontvangen, stuur dan een bericht naar wholesale@unidis.nl.
Taskmanager en Plus Serie
Naar aanleiding van de kwetsbaarheid in het onderdeel Log4J van Apache heeft BPM Software onderzoek gedaan naar het gebruik van dit component binnen hun producten: deze worden niet geraakt door deze kwetsbaarheid.
Achtergrond info
Er is een kritieke kwetsbaarheid aangetroffen in Apache Log4j 2, een Java logging library.
Lees hier het bericht van het Nationaal Cyber Security Centrum.
Apache Log4j 2 wordt gebruikt voor het loggen van Java-applicaties. Het NCSC verwacht op korte termijn exploitcode en misbruik, waardoor organisaties getroffen kunnen worden. De kwetsbaarheid in de opensourcetool Apache Log4j 2 maakt het mogelijk voor ongeauthenticeerden om op afstand willekeurige code te injecteren en uit te voeren met de rechten van de betreffende Java-applicatie.
Inzake andere applicaties dan degene uit het assortiment van Unidis adviseren we om contact op te nemen met je systeembeheerder en/of de leverancier van die betreffende software.