Vrijdag 10 december 2021 is er een kwetsbaarheid gevonden in een veelgebruikt component voor Java ook wel bekend als Log4Shell - CVE-2021-44228.
Meer details zijn hier te vinden: NVD - CVE-2021-44228 (nist.gov)
Wat is Log4Shell?
Log4shell is een zogenaamde open source bibliotheek die door IT-ontwikkelaars gebruikt wordt om te loggen of er bepaalde bugs voorkomen in een applicatie. Er zijn veel bedrijven, applicaties en clouddiensten die gebruik maken van deze Java-library.
Wat is het risico?
Bedrijven die software of systemen hebben waarin Log4Shell gebruikt wordt zijn kwetsbaar voor bijvoorbeeld ransomeware-aanvallen.
Wat doet Caseware?
Betrouwbaarheid en de juiste beveiliging van onze producten is voor ons topprioriteit. Caseware Nederland houdt daarom de situatie nauwlettend in de gaten. Hieronder meer informatie over onze verschillende producten in relatie tot Log4Shell.
Toolbox
Voor het instellen van de Workflow in de toolbox wordt gebruik gemaakt van Log4shell. Wij hebben een nieuwe versie ontwikkeld waarbij geen gebruik meer wordt gemaakt van dit component.
Uit voorzorg adviseren wij om de toolbox te de-installeren. Zie dit artikel voor uitleg.
Klik hier voor de nieuwe versie.
Manager DatabaseConversion
Tijdens de jaarlijkse kantoorconversie kan gebruik worden gemaakt van de Manager DataBaseConversion om de kantoorwijzigingen mee te nemen naar het nieuwe jaar. Bij het draaien van de conversie wordt gebruik gemaakt van Log4Net voor de logging.
Uit voorzorg adviseren wij om de Manager DataBaseConversion 2021 en ouder te de-installeren. Zie dit artikel voor uitleg.
Wij schrijven deze logging nu op een andere manier weg en hebben hiervoor nieuwe versies ontwikkeld.
Klik hier voor de nieuwe versie (Manager DatabaseConversion 2021.2.1)
Klik hier voor de 2020-versie (Manager DatabaseConversion 2020.0.3)
Caseware on Azure
Gebruikers van Caseware on Azure hoeven geen actie te ondernemen. Caseware heeft mitigatie toegepast op de genoemde componenten in dit artikel. Hiermee zijn de Toolbox en de Manager DatabaseConversion uitgeschakeld. Zodra de nieuwe versies beschikbaar zijn zullen we deze weer inschakelen. Het uitschakelen van de componenten heeft geen invloed op huidige processen en dossiers.
AuditCase
Klik hier voor alle ontwikkelingen in relatie tot AuditCase.
Caseware International
Het Caseware Securityteam monitort constant op kwetsbaarheden binnen de infrastructuur van Caseware Cloud. Caseware International heeft oplossingen geïmplementeerd voor bescherming tegen CVE-2021-44228, een kwetsbaarheid voor het uitvoeren van externe code in Log4Shell -versies (kleiner dan of gelijk aan) <= 2.14.1. Caseware International heeft geen verdere kwetsbaarheden geconstateerd en blijft onze systemen nauwlettend monitoren.