Vragen Apache Log4J

Vanuit diverse kanten, komen bij ons vragen binnen betreffende de gemelde kwetsbaarheid in Apache Log4J. Omdat het voor ons onmogelijk is om al deze vragen rechtstreeks te beantwoorden, hebben wij op deze pagina per product de huidige stand van zaken vermeld.

Vanuit diverse kanten, komen bij ons vragen binnen betreffende de gemelde kwetsbaarheid in Apache Log4J. Omdat het voor ons onmogelijk is om al deze vragen rechtstreeks te beantwoorden, hebben wij op deze pagina per product de huidige stand van zaken vermeld. Indien er gevolgen zijn binnen onze oplossingen, zullen wij u daar persoonlijk over informeren. Vooralsnog hebben we daar nog geen aanleiding voor gevonden. Onderstaand hebben wij de meest gestelde vragen, per product beantwoord.

 

# Vragen lijst Rx.Front

Rx.Enterprise/

InProces Classic

Rx.Mission/

Squit 20/20/

Squit XO/

Squit2Go

WoW/

MOOR

GV Zaaksysteem

Rx.Base/

Rx.Zone

Squit iBis/

Squit iGor

1.

Zijn jullie op de hoogte van de genoemde kwetsbaarheid?

Wij zijn op vrijdag 10 december geïnformeerd over de kwetsbaarheid in Apache Log4J. Om te bepalen in hoeverre dit van toepassing is op de door Visma Roxit geleverde oplossingen zijn onze product specialisten direct na melding gestart met het analyseren van onze oplossingen en cloud omgevingen.  
2

Maken jullie diensten gebruik van Log4J en zo ja:

Er werd gebruik gemaakt van de Log4j versie 2. Log4j is onderdeel van Solr, de zoekoplossing van Rx.Front. Er wordt geen gebruik gemaakt van de betreffende Apache Log4J versie die een kwetsbaarheid bevat.  Er wordt geen gebruik gemaakt van Log4j binnen onze oplossing. Er wordt geen gebruik gemaakt van de betreffende Apache Log4j versie die een kwetsbaarheid bevat. 

Er wordt geen gebruik gemaakt van de betreffende Apache Log4J versie die een kwetsbaarheid bevat. 

Rx.Base:  Er wordt gebruik gemaakt van Log4j.  Benodigde update is reeds afgelopen vrijdag uitgevoerd.  Rx.Zone: Er wordt geen gebruik gemaakt van de betreffende Apache Log4J versie die een kwetsbaarheid bevat.  Er wordt geen gebruik gemaakt van Log4j  binnen onze oplossing.
2.a.

In hoeverre heeft dit consequenties voor de aan ons geleverde diensten?

Wij hebben daar waar nodig de direct de noodzakelijke patches uitgevoerd om mogelijke risico's te mitigeren. Deze acties zijn al uitgevoerd, hetgeen impliceert dat er voor u geen verdere consequenties zijn. 
2.b.

Is onderzocht of er reeds misbruik is gemaakt van de kwetsbaarheid? Wat is hier de uitkomst van?

Door middel van installatie van patches is de kwetsbaarheid verholpen voor onze SaaS en Managed hosting omgeving. Ook zijn instructies verstrekt  voor de Rx.Front installaties die zelf worden gehost en beheerd.

We kijken voor de zekerheid onze SaaS en managed hosting omgeving nogmaals na om te zien of voor het moment van patchen misbruik heeft plaatsgevonden. Er zijn voor nu nog geen aanwijzingen dat er misbruik is gemaakt van deze kwetsbaarheid. 

Additionele toetsing heeft uitgewezen dat er geen kwetsbaarheden zijn gevonden. Er zijn geen aanwijzingen dat er misbruik is gemaakt van deze kwetsbaarheid. Additionele toetsing heeft uitgewezen dat er geen kwetsbaarheden zijn gevonden. Er zijn geen aanwijzingen dat er misbruik is gemaakt van deze kwetsbaarheid. Additionele toetsing heeft uitgewezen dat er geen kwetsbaarheden zijn gevonden. Er zijn geen aanwijzingen dat er misbruik is gemaakt van deze kwetsbaarheid. Er wordt geen gebruik gemaakt van de betreffende Apache Log4J versie die een kwetsbaarheid bevat. Additionele toetsing heeft uitgewezen dat er geen kwetsbaarheden zijn gevonden. Rx.Base:  Er is onderzocht of er misbruik is gemaakt van de kwetsbaarheid. Uikomst is dat er pogingen zijn geconstateerd om binnen te komen . Deze zijn onsuccesvol geweest.   Rx.Zone: Er wordt geen gebruik gemaakt van de betreffende Apache Log4J versie die een kwetsbaarheid bevat. Additionele toetsing heeft uitgewezen dat er geen kwetsbaarheden zijn gevonden. Additionele toetsing heeft uitgewezen dat er geen kwetsbaarheden zijn gevonden. Er zijn geen aanwijzingen dat er misbruik is gemaakt van deze kwetsbaarheid.
2.c.

Welke maatregelen zijn genomen om het risico te beperken?

Wij hebben daar waar nodig de direct de noodzakelijke patches uitgevoerd om mogelijke risico's te mitigeren. Deze acties zijn al uitgevoerd, hetgeen impliceert dat er voor u geen verdere consequenties zijn. 
2.d

Zijn patches beschikbaar en op welke termijn worden deze geïnstalleerd/beschikbaar gemaakt om te installeren?

Patches zijn reeds geinstalleerd op onze SaaS en Managed hosting omgevingen.

Hierbij merken wij op dat wij voor klanten die zelf haar website/portaal hosten een stappenplan hebben opgesteld, verstrekt en geholpen met uit te voeren acties.

Niet  van toepassing. Niet  van toepassing. Niet van toepassing. Niet  van toepassing. Niet  van toepassing. Niet van toepassing.
3 De voorgestelde patch naar de 2.16 versie van Apache Log4j is: Om misbruik uit sluiten is 2.16 versneld uitgerold. Na confirmatie blijkt dat Rx.Front niet kwetsbaar is geweest voor dit gevonden probleem (CVE-2021-45046). Versie 2.15 blijft daarmee een veilige versie voor Rx.Front Niet  van toepassing. Niet  van toepassing. Niet van toepassing, want 2.15 was ook niet van toepassing Niet  van toepassing. Niet  van toepassing. Niet van toepassing.
  De voorgestelde patch naar de 2.17 versie van Apache Log4j is: Ook de laatste gevonden kwetsbaarheid (CVE-2021-45105) is niet van toepassing op Rx.Front. Versie 2.15 blijft daarmee een veilige versie voor Rx.Front. Updaten naar 2.17 zal met een reguliere update plaatsvinden. .   Niet van toepassing      

 

Uiteraard blijven wij de ontwikkelingen en berichtgeving rondom de Apache Log4J kwetsbaarheid op de voet volgen en gebruiken additionele tooling voor scanning. Indien noodzakelijk verstrekken wij direct aanvullende voor u relevante informatie over deze kwetsbaarheid in relatie tot de afgenomen diensten, of lopende trajecten voor eventuele toekomstige dienstverlening. Wij vertrouwen er op u hiermee voldoende te hebben geïnformeerd.