In deze FAQ staan de kwestbaarheden die de Apache Log4J 2 heeft op de verschillende softwarepakketten van Advisie.
In het nieuws wordt gewaarschuwd voor de kwetsbaarheid van Apache Log4j 2.
Veel klanten stellen ons de vraag of dit hun organisatie raakt. In dit bericht proberen we kort toe te lichten wat we tot nu toe weten.
Het gaat mis bij de zogenoemde Apache Log4j-tool. Dat is software die wordt gebruikt om logboeken van applicaties bij te houden. Bedrijven doen dat bijvoorbeeld om te bekijken wat er niet goed gaat als een computerprogramma een error geeft.
Door het lek, dat de naam Log4Shell heeft gekregen, kunnen hackers computerservers binnendringen en schadelijke software uitvoeren. Het Nationaal Cyber Security Centrum (NCSC) verwacht dat het lek op korte termijn misbruikt zal worden, waardoor duizenden organisaties getroffen kunnen worden.
Apache Software heeft inmiddels een update uitgebracht om het lek te dichten. Bedrijven en gebruikers worden opgeroepen deze update zo snel mogelijk uit te voeren, zodat hackers geen kans krijgen.
Exact Business Software heeft een algemeen statement uitgebracht: https://www.exact.com/nl/nieuws/algemeen-statement-apache-lek
Wat betekent dit op dit moment [d.d. 14-12-2021]
Exact Globe
Exact Globe zou nooit open moeten staan voor de buitenwereld en is derhalve beschermt tegen dit soort aanvallen. Log4J wordt gebruikt in Exact Globe maar in uiterst exotische componenten, echter in alle gevallen vraagt het om expliciete installatie van de JAVA engine: voorbeelden hiervan zijn: Facturae, MIPF, IRmark software application en 390_2011
Synergy Enterprise
Op Synergy Enterprise wordt in (vrijwel) alle gevallen Windows authenticatie toegepast; dat betekent dat gebruikers inloggen met hun Windows (AD) gebruikersnaam en wachtwoord. In dat geval is het onmogelijk dat Synergy Enterprise vatbaar is voor deze kwetsbaarheid; IIS geeft pas toegang tot de applicatie folder nadat een gebruiker met succes is geauthenticeerd.
In (hoogst) ongebruikelijke scenario's, waarin Synergy Enterprise omgevingen zijn opengesteld voor gebruikers die zich niet (met Windows credentials) hoeven aan te melden (c.q. Anonymous of Forms authentication) geldt dat moet worden nagegaan of de ElasticSearch voor Synergy Enterprise is geïnstalleerd. ElasticSearch is een onderdeel dat optioneel geïnstalleerd kan worden (bij de meeste Synergy Enterprise omgevingen is dit niet geïnstalleerd). In deze uiterst specifieke combinatie vragen wij voor de zekerheid contact te zoeken met onze servicedesk om eventuele kwetsbaarheid uit te sluiten.
Advisie en Custom Solutions
Log4j is overgezet naar andere talen waaronder .NET. Deze technologie is onder andere gebruikt in Nlog en Log4Net. In diverse Custom en Advisie Solutions gebruiken we deze componenten. Op basis van berichtgeving op fora blijkt dat deze kwetsbaarheid zich niet voordoet van .NET. Gebaseerd ook op eigen inzicht hebben we geen enkele reden om aan die berichtgeving te twijfelen. Ports of log4j to other non-Java languages (log4perl, log4php, log4net, and log4r, etc.) - likely unaffected due to this vulnerability being Java-dependent
Exact Financials Enterprise
Gebaseerd op het statement van Progress wordt Exact Financials niet geraakt wordt door deze kwetsbaarheid: https://www.progress.com/security Het enige aandachtspunt kan zijn als Apache Tomcat is geïnstalleerd voor SOAP web services of AIA en Tomcat is afwijkend geconfigureerd om gebruik te maken van Log4j i.p.v. default Tomcat logging. Er zijn bij ons geen omgevingen bekend waarbij dat het geval is.
Scan Sys
Reactie vanuit Scan Sys: "Onderstaande gaat over een vulnerability in een component dat gebruikt kan worden in Java applicaties. Dus applicaties die gebruik maken van de JRE en dat doet onze applicatie niet."
Elvy
Reactie vanuit Elvy: "Wij maken geen gebruik van Apache log4j in onze programmatuur. Er is vanuit ons en dus voor onze klanten geen actie vereist."
Sumatra
Reactie vanuit Sumatra: "Sumatra gebruikt dit niet, dit is bevestigd door onze development afdeling. Het heeft dus geen effect op Sumatra."
Alle berichten zijn gebaseerd op de informatie zover die voor nu beschikbaar is. Advisie heeft bovenstaand bericht zorgvuldig proberen samen te stellen, wij zijn echter nog in afwachting van de officiële statements van een aantal van onze leveranciers.
Mocht er meer informatie ons bereiken dan informeren wij u verder op deze pagina. Kom dus met enige regelmaat terug op deze pagina om de laatste updates te lezen.
Schrijf je in voor onze nieuwsbrief en ontvang elk kwartaal het laatste nieuws, Exact updates en relevante inspiratie in je inbox.