Kwetsbaarheid Apache Log4J Versies 2.0 t/m 2.14.1
Afgelopen dagen is er een kwetsbaarheid bekend gemaakt op de Apache-component Log4J versie 2.0 t/m 2.14.1. Deze kwetsbaarheid is geclassificeerd als High/High, en vraagt daarmee van iedereen onmiddellijke actie.
https://www.ncsc.nl/actueel/advisory?id=NCSC-2021-1052
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
Voor BMconsultants betekent dit dat we de software die wij aan onze klanten leveren hebben onderzocht op het gebruik van deze kwetsbare Apache-component en komen daarbij tot de volgende constateringen:
Kofax Capture
In het Kofax Capture platform kan de Apache component Log4J worden gebruikt in Third party modules voor de aansluiting van MFP’s op het platform. Het betreft hier echter oudere versies van de Log4J component die zover nu bekend, niet onder de gerapporteerde kwetsbaarheid vallen.
KTA
In het Kofax Total Agility (KTA) platform is de Apache-component Log4J aanwezig. Het betreft een oudere versie van de component (versie 1.2.8) die niet onder de gerapporteerde kwetsbaarheid valt.
Kofax RPA versie 11.1
In Kofax Robotic Process Automation (RPA) versie 11.1 wordt gebruik gemaakt van de Log4J component en ook de kwetsbare versie.
Kofax heeft een aantal suggesties beschreven voor workarounds om de kwetsbaarheid te vermijden:
https://knowledge.kofax.com/Robotic_Process_Automation/New_Articles/Kofax_RPA_and_CVE-2021-44228_(log4j_security_exploit)_Information
Kofax RPA oudere versies
RPA versies ouder dan versie 11.1 worden niet getroffen door de gerapporteerde kwetsbaarheid.
BM specifieke modules
In de modules BM Datacollector, BM Invoice Package of de BM Webservice library wordt de component Log4J niet gebruikt.
BM Dataprotector (anonimiseren)
In de BM Dataprotector wordt de component Log4J niet gebruikt.
M-Files
In M-Files wordt geen gebruik gemaakt van de component Log4J.
Mocht u naar aanleiding van bovenstaande informatie of naar aanleiding van de gerapporteerde kwetsbaarheid nog vragen hebben ten aanzien van onze oplossingen, dan kun u zich altijd wenden tot onze helpdesk via Helpdesk@bmconsultants.com. Wij zullen u dan zo spoedig mogelijk te woord staan.