Geen Log4j-kwetsbaarheden gevonden in DATPROF-software
13 December, 2021 | Bert Nienhuis
Due to the recent information about the vulnerability of Apache’s Log4j, our software team has done extensive research.
We are happy to report that none of our software uses this logging system, so our software is not vulnerable to exploitation. The specific Log4j component is not used inside any of our products, including the following:
DATPROF Runtime
DATPROF Subset
DATPROF Privacy
DATPROF Integrate
DATPROF Extract
DATPROF Connect
DATPROF xPrivacy
Wat is Log4j?
Log4j is een veelgebruikte Java-logboekbibliotheek die is ontwikkeld door de Apache Software Foundation. Met dit onderdeel kan externe code worden uitgevoerd, vaak vanuit een context die gemakkelijk beschikbaar is voor een aanvaller. Dit maakt iedereen die Log4j in dienst heeft een potentieel doelwit voor aanvallen.
Het beveiligingsrisico met Log4j, ook wel CVE-2021-44228 of Log4Shell of LogJam genoemd, wordt beschouwd als een van de gevaarlijkste en ernstigste risico’s van de afgelopen jaren. Door de kwetsbaarheid kunnen aanvallers op afstand misbruik maken van de rechten van webservers, met mogelijk aanzienlijke gevolgschade. Veel grote organisaties gebruiken dit onderdeel (het beïnvloedt alle versies), waardoor ze een potentieel doelwit zijn.
Informatie vanuit NCSC (Nationaal Cyber Security Centrum)
Op Github is een lijst gepubliceerd met applicaties die mogelijk kwetsbaar zijn door de kwetsbaarheid in Log4j. Deze lijst is verre van volledig en zal de komende dagen worden aangevuld met informatie over toepassingen die nog niet op de lijst staan. Cybersecuritybedrijf Northwave heeft een tool beschikbaar gesteld om te controleren of je server kwetsbaar is. Het NCSC verwijst naar de disclaimer in de begeleidende tekst.
Conclusie
We vonden het belangrijk om deze update te schrijven zodat DATPROF-gebruikers gerustgesteld konden worden: DATPROF-producten maken geen gebruik van de specifieke log4j-component, dus er zijn geen kwetsbaarheden. Als er nieuws is, houden we onze klanten per e-mail op de hoogte. Wij hopen je hiermee voldoende te hebben geïnformeerd, maar mocht je nog vragen hebben, neem dan gerust contact met ons op.