Status kwetsbaarheid Log4j bij leveranciers

Hieronder vind je de status van de kwetsbaarheid Log4J bij de leveranciers waarmee SURF een overeenkomst heeft. De informatie is aangeleverd door de leveranciers, die dan ook inhoudelijk verantwoordelijk zijn voor de informatie.

security center

Laatste wijziging: 23 december 2021

Let op: we doen ons best dit overzicht compleet en up-to-date te houden. Dit neemt niet weg dat je als instelling natuurlijk in de eerste plaats zelf verantwoordelijk bent voor je eigen omgeving; vanuit zorgvuldigheidsoogpunt doe je er goed aan oplettend te blijven richting leveranciers en deze kritisch te bevragen indien nodig.

ABBYY

Informatie beschikbaar voor klanten via online Abbyy support omgeving.

Bekijk de informatie van ABBYY

Adobe

Adobe is investigating potential impact and is taking action including updating affected systems to the latest versions of Apache log4j recommended by the Apache Software Foundation.

Voor zowel Creative Cloud als Document Cloud geldt dat (core)services en applicaties die daar onderdeel van uitmaken huidige status van “N/A” of “Patched” hebben, waarbij “N/A (not applicable)” means that the product/service does not use the vulnerable Apache log4j library. “Patched” means the product/service uses the Apache log4j library but has been updated to the latest version that is not vulnerable.

There is nothing additional you need to do for your Adobe applications at this time. If you are a user of Apache log4j in your own environment, we recommend updating to the latest versions available from the Apache Software Foundation. UPDATE 15-12: Adobe is aware of the new guidance from the Apache Software Foundation as of December 14, 2021, and is updating affected environments using the latest recommended version, where applicable. Adobe is aware of a new vulnerability present in Apache log4j 2 (CVE-2021-45046). We are investigating the potential impact and following recommended guidance from the Apache Software Foundation. As this is a new development, we can no longer comment on the status of individual products/services.;

UPDATE 21-12: Updated messaging about the first log4j vulnerability (CVE-2021-44228) has been posted on Adobe.com

AWS

AWS is aware of the recently disclosed security issue relating to the open-source Apache “Log4j2"" utility (CVE-2021-44228).

Responding to security issues such as this one show the value of having multiple layers of defensive technologies, which is so important to maintaining the security of our customers data and workloads. We're taking this issue very seriously, and our world-class team of engineers has been working around the clock on our response and remediation. We expect to rapidly restore our full state of defense in depth.

We continue to recommend that our customers take action to update all their applications and services by patching for known issues like this one and continue to follow our well architected guidance.

Additional service-specific information is provided at the following webpage

Axians

Axians geeft informatie via het eigen portal en via deze link (onder andere Fortinet en Cisco).

BiZZdesign

For this specific incident the status is (as detailed in the linked statement):
•    Enterprise Studio does not contain the affected component
•    The HoriZZon platform does include the affected component, and as such further analysis was required
•    Our engineering team analyzed the vulnerability, and on Friday determined that our software is not affected by it
•    The same was done for third-party components; the ElasticSearch component powering HoriZZon Dashboards initially looked like it might be vulnerable to attack by users authenticated within HoriZZon. A mitigation for that was created and applied by the DevOps team
•    Elastic has since published their own analysis and determined that their software is not vulnerable, so the mitigations we applied were not required.
•    This means we have no reason to believe any customer data is or has been at risk from this vulnerability
•    Out of an abundance of caution an updated HoriZZon version containing a fixed version of log4j will be applied to all SaaS environments during regular maintenance windows (Tuesday 14 December for US/APAC customers and Thursday 16 December for EU customers)
•    An updated on-premise version of HoriZZon/Team Server is already available for download from the service desk website

Blackboard

Blackboard raadt aan om de “Support Bulletins” op Behind the Blackboard in de gaten te houden (achter login). Hier wordt de laatst beschikbare informatie gedeeld. Alle klanten van Blackboard hebben toegang tot Behind the Blackboard.

CD&E (Snagit en Camtasia van fabrikant Techsmith)

“TechSmith is aware of CVE-2021-44228 regarding log4j. The software and services we create do not leverage this library. We have scanned our environment for this issue and have less than five systems which make use of this library. These systems are not exposed to the public Internet. For these systems, we are dependent on third-parties to provide updates, but other protections have been put in place to mitigate this issue.”

Cisco

Vannacht hebben we onze Log4j Security Advisory pagina geupdate. Het onderzoek naar vulnerable/non-vulnerable producten is zo goed als afgerond, ook wordt er voor veel producten een Fix beschikbaarheidsdatum gepubliceerd. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/c…

Talos heeft vannacht ook updates uitgebracht over o.a. wat we in de markt zien gebeuren https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerabili…
Talos Log4j Livestream recording https://www.youtube.com/watch?v=MMwUF4sHmBQ

NL - NCSC webinar vandaag 4PM
Het NCSC, Digital Trust Center en CSIRT-DSP organiseren samen een webinar voor IT-professionals over de kwetsbaarheid in Log4j software. Dit webinar vindt plaats op (woensdag 15 december om 16.00u (VANDAAG). Aanmelden kan via de aanmeldlink https://live.dutchwebinar.com/itinformatiesessielog4j

Voor onze Cisco Firewall en IPS klanten
Voor onze Firewall en IPS klanten hebben we een adviesblog dat we pro-actief kunnen delen met deze groep klanten:
https://blogs.cisco.com/security/protecting-against-log4j-with-secure-f…

Voor onze Cisco Secure Network Analytics (Stealthwatch) klanten
Voor onze Secure Network Analytics (Stealthwatch) klanten is er een advies document beschikbaar om te monitoren op log4j exploitation (zie attachment)

Citrix

Volledige advisory rondom Log4J, en additionele guidance wanneer het aankomt op CitrixWAF

Claris, Filemaker
Courseware (Articulate)

In December 2021, the Apache Software Foundation discovered a security vulnerability (CVE-2021-44228) in Apache Log4j, a Java library. The vulnerability allows attackers to ""execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled.""

The good news is your Articulate data is secure.

Articulate 360 and Rise.com aren't susceptible to the Apache Log4j exploit, and none of our customers' PII (Personal Identifiable Information) is compromised.

We followed our vulnerability monitoring policy, investigated the Apache Log4j issue, and determined that we only use the Java library in an internal reporting tool. We mitigated the issue by configuring the system properties that the Apache Log4j vulnerability targeted. We found no indication of exploits in our internal reporting tool nor any compromised data.

We take security seriously at Articulate. If you have any questions, contact us at security@articulate.com. For more information about our security efforts, visit our Trust Center.

More information

DLearning (Xerte Online Toolkit)

Zoals in diverse media is gemeld is een kwetsbaarheid gevonden in een specifiek stuk software voor logging van informatie. De software wordt vooral gebruikt in java gebaseerde applicaties.

Xerte gebruikt dit zelf niet maar bij onze hostingpartner wordt het wel gebruikt. Onderstaand bericht hebben wij van hen ontvangen:

************
Aangezien de impact van de melding zowel hoog is qua risico als qua impact is direct de afgelopen dagen het operationele platform doorlopen en zijn waar nodig in overleg met leveranciers en klanten maatregelen getroffen.

Voor nadere info vanuit leveranciers:
Citrix: https://support.citrix.com/article/CTX335705)
Vmware (https://kb.vmware.com/s/article/87068?lang=en_US)

Algemeen:
NSCS: https://github.com/NCSC-NL/log4shell
Check utilities:
https://github.com/axelmorningstar/log4j. Dit is een vrij eenvoudig uit te voeren methode.
https://github.com/crypt0jan/log4j-powershell-checker/
https://github.com/NorthwaveSecurity/log4jcheck

FeedbackFruits

UPDATE: Statusupdate van de log4j-kwetsbaarheid:
FeedbackFruits is niet getroffen door de log4j-kwetsbaarheid

FeedbackFruits hoorde vorige week vrijdagochtend van de log4j-kwetsbaarheid en nam onmiddellijk maatregelen om eventuele negatieve gevolgen te verminderen. Omdat Java slechts een klein onderdeel is van onze software ontwikkeling stapel, wisten we waar we onze inspanningen op moesten richten.

Na inspectie kwamen we tot de conclusie dat geen van onze modules via deze kwetsbaarheid kan worden misbruikt. Desalniettemin hebben we ervoor gezorgd dat alle mogelijk getroffen modules zijn bijgewerkt met de nieuwste beveiligingspatches.

We verwachten niet dat deze kwetsbaarheid gevolgen zal hebben of hebben gehad voor onze gebruikers, maar we zullen de situatie blijven volgen en u informeren over relevante nieuwe details.

_____________

UPDATE: Status update on the log4j vulnerability
FeedbackFruits was not affected by the log4j vulnerability

FeedbackFruits learned of the log4j vulnerability last week Friday morning, and immediately took measures to mitigate any potential negative impact. As Java is only a small part of our software development stack, we knew where to focus our efforts.

After inspection, we came to the conclusion that none of our modules can be exploited through this vulnerability. Nonetheless, we made sure to update all potentially affected modules to the latest security patches.

We don't expect this vulnerability to have or have had any impact on our users, but will continue to monitor the situation and inform you of any relevant new details.

More information

Fortinet
Google

On this page, we provide the latest update of the potential impact of the open-source Apache “Log4j 2” vulnerability on Google Cloud products and services. 

iBabs

The iBabs portal, related services and API's do not use Log4j, so they have not been impacted by this vulnerability. However Log4j is used in a component in our iBabs Connect backend. The patch for this vulnerability was applied last Friday evening when it became available, so this vulnerability was mitigated as soon as possible.

IBM

As per the following IBM's communication to our customers

UPDATE 21-12: SPSS Statistics en Modeler maken gebruik van log4j, ook in de client. Hoewel de kans misschien klein lijkt dat er via deze weg ongeautoriseerde activiteiten plaatsvinden willen wij u er met nadruk op wijzen dat er fixes beschikbaar zijn om het risico te vermijden en erop aandringen om deze zo spoedig mogelijk te installeren.

Hier vindt u de centrale informatie over producten van IBM, met de mogelijkheid om naar specifieke bulletins voor producten te zoeken en regelmatig updates: https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-…

Informatie en fixes voor SPSS Statistics Client & Server: https://www.ibm.com/support/pages/node/6525830

Informatie en fixes voor SPSS Modeler Client & Server: https://www.ibm.com/support/pages/node/6526076

Informatie en fixes voor SPSS C&DS: https://www.ibm.com/support/pages/node/6527724

Wellicht ten overvloede, maar de fixes zijn alleen beschikbaar voor ondersteunde versies en zijn altijd van toepassing op het meest recente level per versie. Wellicht is het nodig om eerst een upgrade uit te voeren naar een ondersteunde versie of het meest recente level. Ook daarover vindt u op bovenstaande links informatie per product.

Bij een subscription license kan een update vanuit de client worden opgehaald, in het menu 'Help' bij 'Check for updates'.

Schrijf u ook in voor berichtgeving over de producten die u gebruikt: https://www.ibm.com/support/mynotifications

Ivanti (RES)

De Ivanti oplossingen waar deelnemers aanbesteding virtualisatie 1, 2 en 3 mee werken zijn niet geraakt door deze kwetsbaarheid. Op de Ivanti community, waar leden die gebruik maken van Ivanti software op kunnen inloggen, wordt per oplossing informatie geboden over de status van Log4j

Linguistic Systems (Euroglot)

Euroglot maakt geen gebruik van Log4j en is daardoor niet geraakt.

Mindmanager

We have had some customers asking whether MindManager uses Log4j 2. Our engineering team has completed testing on our products and NO vulnerabilities were discovered with MindManager software. Here are the details: Later versions of MindManager Mac bundle log4j-1.2.13.jar library. This is an earlier version than the one with the vulnerability. There is no vulnerability with MindManager Mac. None of our earlier versions of MindManager for either Windows or Mac are vulnerable. None of our cloud services are vulnerable. We did discover a vulnerability with mindmanager.com for services tied to Amazon Web Services , however, those services have all been patched by AWS.

Microsoft

Microsoft continues our analysis of the remote code execution vulnerabilities related to Apache Log4j (a logging tool used in many Java-based applications) disclosed on 9 Dec 2021. Currently, Microsoft is not aware of any impact, outside of the initial disclosure involving Minecraft: Java Edition, to the security of our enterprise services and has not experienced any degradation in availability of those services as a result of this vulnerability.

Microsoft’s Response to CVE-2021-44228 Apache Log4j 2

Oracle

Op 10 December stuurde Oracle een Security Alert naar iedereen die geabonneerd is op de Oracle Security Alert. Hierin verwijst Oracle specifiek naar ‘Apache Log4j en hoe te handelen. Heb je de alert niet ontvangen of wil je je abonneren op de alerts? Bekijk dan deze webpagina’s:
•    Oracle Security Alert Advisory van 10 december 2021: https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
•    Subscribe to Oracle Security Alerts: https://www.oracle.com/security-alerts/securityemail.html

Vanwege de ernst van dit beveiligingslek, raadt Oracle haar klanten aan de updates die in de Security Alert worden verstrekt, zo snel mogelijk uit te voeren.

December 10, 2021
Oracle Security Alert for CVE-2021-44228

Dear Oracle Security Alert Subscriber,

Oracle Security Alert for CVE-2021-44228 was released on December 10, 2021.
Oracle strongly recommends that customers follow the recommended actions noted in the Security Alert.The Security Alert Advisory is the starting point for relevant information.
It includes a summary of the security vulnerability, and a pointer to obtain
the latest patches. Supported products that are not listed in the "Affected
Products and Versions" section of the advisory do not require new patches
to be applied.

Also, it is essential to review the Security Alert supporting documentation
referenced in the Advisory before applying patches, as this is where you can
find important pertinent information.

The Advisory is available at the following location:

Oracle Critical Patch Updates and Security Alerts:
https://www.oracle.com/security-alerts

Oracle Security Alert for CVE-2021-44228:
https://www.oracle.com/security-alerts/alert-cve-2021-44228.html

Thank you,
Oracle Security Alerts
 

Ouriginal

Scheduled - A critical software vulnerability with wide-reaching impact on applications across the globe was disclosed by Apache on December 9, 2021. Since the disclosure, the Ouriginal team (part of the Turnitin family) has been investigating and mitigating the impact of the vulnerability. We have implemented Apache’s latest recommended remediation. Please be assured that we are monitoring our system and have no known exploitations of the vulnerability.

More information

Outpost24

Outpost24 environments and products – We have reviewed our platforms HIAB and OUTSCAN, which are not affected. This include Netsec, Compliance, Appsec, Managed Service reporting platform, Offensive Security reporting platform, Cloudsec, in their different distribution forms. We have identified third party components not related to the operations environments and performed patching and will continue to monitor it internally.

At Outpost24 we'll continue to monitor the vulnerability and the threat landscape to provide more updates as the situation develops. If you require further assistant in the meantime please contact customer support. Via deze link kan je je aanmelden voor updates.

Parantion BV (Scorion en Easion)

Parantion en haar systemen (Scorion, Easion en Groeidocument) hebben geen last van deze kwetsbaarheid. Parantion heeft daar uitgebreid onderzoek naar gedaan en kwam tot deze conclusie. Deze kwetsbaarheid is bekend als Log4Shell met CVE-code CVE-2021-44228.

Meer informatie

Red Hat

Red Hat geeft informatie via deze link.

Qlik

Op de meeste componenten van de software geen gevoeligheid is en bij een aantal die wel “affected” zijn worden mitigerende maatregelen genomen. Bij een aantal componenten is dat echter wel geconstateerd en kunnen mitigerende maatregelen worden genomen.

Meer informatie

SAS

The continuous and ongoing investigation that SAS has made into the use of Log4j (within the SAS® 9.4 platform [9.4M6 and 9.4M7], the SAS Viya platforms [3.3 and later], and the SAS 9 Logon process) has concluded that, given the community understanding of CVE-2021-44228, unauthenticated remote code execution (RCE) exploits are not possible at this time. As the security community's understanding of Log4j vulnerabilities grows, and SAS continues its investigation, SAS will address any new findings and surface concerns to customers.

SAS Statement Regarding Remote Code Execution Vulnerability (CVE-2021-44228)

Sendsteps (Shakespeak)

You might have noticed that some companies have been facing an issue with the Log4J Zero-Day vulnerability CVE-2021-44228.

I would like to inform you that Sendsteps investigated this vulnerability straight away and we're happy to say that none of our systems are affected.If you have any further questions, let me know and I will get in touch with the right people on our end!

Sensus processmanagement

Wellicht dat u op het nieuws heeft gehoord dat er een kwetsbaarheid in een veelgebruikte tool voor Java applicaties is ontdekt.
Goed nieuws, Sensus BPM Online maakt geen gebruik van deze tool. Onze applicatie heeft dus GEEN last van deze geconstateerde kwetsbaarheid.

Wat is er precies aan de hand?
In een veelgebruikte Log4j 2-tool, die gebruikt wordt voor het loggen van Java-applicaties is een kwetsbaarheid ontdekt.
De kwetsbaarheid heeft de aanduiding CVE-2021-44228 gekregen en staat ook bekend als Log4Shell of LogJam.
Deze kwetsbaarheid is afgelopen donderdagavond openbaar gemaakt. Vorige week hebben we daarop meteen onze applicatie gecontroleerd. Uiteraard maken wij ook gebruik van logging, maar Sensus gebruikt LogBack i.p.v. log4J. Ook in de oudere versies van onze applicatie, zit geen afhankelijkheid van Log4J 2. Er zijn dan ook geen aanpassingen nodig.

ServiceNow

Geen impact. Document op te vragen.

SonicFoundry

Issue:  Are Sonic Foundry products impacted by the Log4j 2 vulnerability?
 
Solution:  Our findings suggest that no further action is required by either Mediasite Video Cloud or on-premise customers. Mediasite applications do not use the Log4j component. We will continue to monitor the issue, but at this time there is no cause for concern.

More information
 

SUSE

SUSE geeft informatie via deze link.

The implementation Group (TIG)

Geen impact op eigen producten en diensten, zie verdere informatie bij Qlik.

TimeTell

Wij hebben direct geïnventariseerd of dit onze systemen treft. Voor TimeTell Online maken wij geen gebruik van Apache log4j, dus daar was er geen risico.

We hebben ook de overige systemen onderzocht die wij in gebruik hebben. Er waren enkele interne ondersteunende systemen die dit gebruikten, maar die zijn niet extern benaderbaar en liepen dus geen risico. Deze zijn volledigheidshalve wel direct gepatcht.

Ook onze hosting provider heeft direct de noodzakelijke stappen ondernomen. Er was en is dus geen risico voor de TimeTell Online omgevingen of voor onze interne systemen.

T-Mobile

T-Mobile is zoals je van ons mag verwachten dagelijks bezig om de veiligheid van jou als klant bij het gebruik van onze dienstverlening te waarborgen. Wij volgen daarom op de voet alle ontwikkelingen rondom het beveiligingslek in log4j zoals dit recent in de publiciteit bekend is geworden. Wij doen dit in nauwe samenwerking met het National Cyber Security Centre (NCSC). Naar aanleiding van onze nauwe samenwerking met het NCSC, en hun aanbevelingen, heeft T-Mobile een reeks extra voorzorgsmaatregelen genomen.
 
Wij hebben gezien de potentiële impact en het toezicht op onze systemen verhoogd en op dit moment hebben we geen verdere aanwijzingen dat onze klanten of systemen geraakt zijn. Mocht het nodig zijn dan zullen wij de nodige maatregelen nemen om de veiligheid te kunnen blijven garanderen.
 
Voor updates over kwetsbare systemen, handelingsperspectief en detectie mogelijkheden is deze pagina van het NCSC een goed startpunt. Bij vragen naar aanleiding van deze update kun je te allen tijde contact opnemen met je contactpersonen bij T-Mobile, samen met onze partners helpen wij je graag verder.

Turnitin (Simcheck)

We have implemented Apache’s latest recommended remediation. Please be assured that we are monitoring our system and have no known exploitations of the vulnerability.

Turnitin's status page

VMware

•    The VMware Security Advisory-2021-0028 (VMSA) is the single source of truth for customers of all impacted VMware products. Visit regularly as new workarounds and fixes will be added over time.
•    The VMSA Blog Post provides deeper explanation of the impact and actions to take.
•    The VMSA FAQ helps customers with more specific remediation issues.
•    Customers can also visit the Communities Forum to get insights from peers.
•    Our Investigating CVE-2021-442288 Blog provides expert analysis from our Threat Analysis Unit (TAU) and describes how our Networking and Security products can help customers