Geen Log4j-kwetsbaarheden gevonden in DATPROF-software

13 December, 2021 | Bert Nienhuis

Due to the recent information about the vulnerability of Apache’s Log4j, our software team has done extensive research.

We are happy to report that none of our software uses this logging system, so our software is not vulnerable to exploitation. The specific Log4j component is not used inside any of our products, including the following:

 DATPROF Runtime
 DATPROF Subset
 DATPROF Privacy
 DATPROF Integrate
 DATPROF Extract
 DATPROF Connect
 DATPROF xPrivacy

datprof icon security

    Wat is Log4j?

    Log4j is een veelgebruikte Java-logboekbibliotheek die is ontwikkeld door de Apache Software Foundation. Met dit onderdeel kan externe code worden uitgevoerd, vaak vanuit een context die gemakkelijk beschikbaar is voor een aanvaller. Dit maakt iedereen die Log4j in dienst heeft een potentieel doelwit voor aanvallen.

    Het beveiligingsrisico met Log4j, ook wel CVE-2021-44228 of Log4Shell of LogJam genoemd, wordt beschouwd als een van de gevaarlijkste en ernstigste risico’s van de afgelopen jaren. Door de kwetsbaarheid kunnen aanvallers op afstand misbruik maken van de rechten van webservers, met mogelijk aanzienlijke gevolgschade. Veel grote organisaties gebruiken dit onderdeel (het beïnvloedt alle versies), waardoor ze een potentieel doelwit zijn.

     

    Informatie vanuit NCSC (Nationaal Cyber Security Centrum)

    Op Github is een lijst gepubliceerd met applicaties die mogelijk kwetsbaar zijn door de kwetsbaarheid in Log4j. Deze lijst is verre van volledig en zal de komende dagen worden aangevuld met informatie over toepassingen die nog niet op de lijst staan. Cybersecuritybedrijf Northwave heeft een tool beschikbaar gesteld om te controleren of je server kwetsbaar is. Het NCSC verwijst naar de disclaimer in de begeleidende tekst.

     

    Conclusie

    We vonden het belangrijk om deze update te schrijven zodat DATPROF-gebruikers gerustgesteld konden worden: DATPROF-producten maken geen gebruik van de specifieke log4j-component, dus er zijn geen kwetsbaarheden. Als er nieuws is, houden we onze klanten per e-mail op de hoogte. Wij hopen je hiermee voldoende te hebben geïnformeerd, maar mocht je nog vragen hebben, neem dan gerust contact met ons op.