(Update: 07.01.2022 10:30 uur)
Er is op dit moment een ernstige kwetsbaarheid aangetroffen in Log4j 2-tool, die gebruikt wordt voor het loggen van Java-applicaties. De kwetsbaarheid in de opensourcetool Apache Log4j 2 maakt het mogelijk voor ongeauthenticeerden om op afstand willekeurige code te injecteren en uit te voeren met de rechten van de webserver. De kwetsbaarheid heeft de aanduiding CVE-2021-44228 gekregen en staat ook bekend als Log4Shell of LogJam.
De kwetsbaarheid doet zich voor in de versies: 2.0 (Apache log4j2 versies van 2.0 tot en met 2.14.1) en dus niet in versies 1.x. De kwetsbaarheid lijkt vooralsnog te zitten in de functie LDAP-request.
Meer hierover leest u op http://slf4j.org/log4shell.html.
Ook op de website van de IBD is informatie te vinden over Kwetsbaarheden in Log4j applicaties (https://www.informatiebeveiligingsdienst.nl/nieuws/kwetsbare-log4j-applicaties-en-te-nemen-stappen/).
Veel gebruikers stellen ons dan ook terecht de vraag of de producten die bij Cadac/NedGraphics worden afgenomen, mogelijk geraakt worden door deze kwetsbaarheid.
Laatste update
Autodesk producten:
Inmiddels heeft Autodesk grotendeels het onderzoek afgerond, en zijn er reeds acties uitgezet bij de kwetsbare producten. Enkele Autodesk producten zijn nog in onderzoek en hiervoor is volgens Autodesk een oplossing op weg.
Om ervoor te zorgen dat u de meest actuele status van iedere Autodesk product hebt willen we u verzoeken het onderstaande nieuwsbericht van Autodesk te controleren:
Apache Log4j Vulnerabilities: Impact on Autodesk Products
NedGraphics producten:
NedGeoservices (gebruikt log4j versie 1.2.17) | Actie verzocht. Hoewel log4j 1.x niet geraakt worden door de gemelde kwetsbaarheid in Log4j 2.x (CVE-2021-44228) is door SLF4J een melding gemaakt van een kwetsbaarheid door het gebruik van JMSAppender die in de 1.x versies wordt gebruikt (aangeduid met CVE-2021-4104). Deze kwetsbaarheid is een risico indien de kwaadwillende schrijfrechten heeft op de configuratiebestanden op de applicatieserver. Gebruikers die NedGeoservices in DMZ geïnstalleerd hebben worden geadviseerd de volgende stappen uit te voeren:
Door de bovenstaande stappen uit te voeren wordt een eerdere kwetsbaarheid, aangeduid met CVE-2019-17571, eveneens verholpen. Meer over CVE-2019-1757 is te lezen op CVE - CVE-2019-17571 (mitre.org). Voor gebruikers die NedGeoservices laten hosten door Cadac is door Cadac de betreffende patch al geïmplementeerd. |
| NedGlobe Terugmeldingen (gebruikt log4j versie 1.2.17) | De bovenstaande patch (NedgeoServices ) is reeds uitgevoerd door Cadac/Nedgraphic. U hoeft geen actie te ondernemen. |
NedMagazijn Basis (gebruikt log4j versie 1.2.17) | Voor NedMagazijn Basis gebruikers geldt een zeer laag risico omdat op deze omgevingen anders dan op de DMZ extra beveiligingsmaatregelen zijn ingesteld. Op deze omgevingen zijn de genoemde schrijfrechten niet aanwezig. Voor NedMagazijn Basis is inmiddels een versie beschikbaar waarin is overgegaan op log4j versie 2.17.1 waarmee alle risico's zijn verwijderd. |
Niet geraakt door CVE-2021-44228
Op dit moment kan gemeld worden dat de volgende producten zijn onderzocht en niet geraakt worden door kwetsbaarheid CVE-2021-44228:
| NedGraphics producten | Cadac - MFG producten |
|---|---|
NedBRK (maakt geen gebruik van log4j) | NXTdim inventor (maakt geen gebruik van log4j) |
NedBrowser (maakt geen gebruik van log4j) | NXTdim Configurator (maakt geen gebruik van log4j) |
NedValidatie (maakt geen gebruik van log4j) | Organice Vault (maakt geen gebruik van log4j) |
| NedInfra (maakt geen gebruik van log4j) | |
NedView GIS (maakt geen gebruik van log4j) | Cadac - CPQ producten |
NedMagazijn Kern (maakt geen gebruik van log4j) | Epicor CPQ (KBMAX) ( maakt geen gebruik van Log4j) |
| NedMagazijn Kern StUF 2.04 Connector (maakt geen gebruik van log4j) | |
| NGdM(maakt geen gebruik van log4j) | Cadac - ISV - Producten |
| NgCodServer (maakt geen gebruik van log4j) | Taskforce (maakt geen gebruik van log4j) |
| NedConverteer(maakt geen gebruik van log4j) | Organice Explorer (maakt geen gebruik van log4j) |
| NedInwinning (maakt geen gebruik van log4j) | Organice DCS (maakt geen gebruik van log4j) |
| Survey Interface(maakt geen gebruik van log4j) | Organice Brava (maakt geen gebruik van log4j) |
NGdW (maakt geen gebruik van log4j) | Cadac - AEC producten |
| StUF Geo-IMGeo Connector (maakt geen gebruik van log4j) | Techline (maakt geen gebruik van log4j) |
| StUF Geo-BAG Connector (maakt geen gebruik van log4j) | TheModus (Professional) (maakt geen gebruik van log4j) |
NedWIBON (maakt geen gebruik van log4j) | TheModus (Essential) (maakt geen gebruik van log4j) |
| NedOmgeving (maakt geen gebruik van log4j) | TheModus Model extender (maakt geen gebruik van log4j) |
| NedPlan (maakt geen gebruik van log4j) | Nordined (maakt geen gebruik van log4j) |
| NedArchiveren (maakt geen gebruik van log4j) | Nordined LT (maakt geen gebruik van log4j) |
| GEOCAD / Microstation / Bentley (maken geen gebruik van log4j) | |
| IGOS (maakt geen gebruik van log4j) | Cloud diensten |
| TopoCAD (maakt geen gebruik van log4j) | Clouddiensten Cadac/Nedgraphics (zijn gecheckt op het gebruik van log4j en bevatten geen kwetsbaarheden) |
| ModelEditor (maakt geen gebruik van log4j) | |
| Transoft solutions (Autoturn) |
Software derden
De helpdesk ontvangt steeds meer vagen over de gevolgen van de kwetsbaarheid in Log4j 2-tool voor producten van derden die veelvoudig gebruikt worden door NedGraphics, met name SQL developer en notepad++.
Wij raden u aan om regelmatig de berichtgeving van de betreffende leverancier en/of community te raadplegen oor de meest actuele informatie.
SQL developer is geraakt door de kwetsbaarheid in Log4j 2-tool. Het risico is echter klein omdat SQL developer een desktop tool is. Oracle heeft een nieuwe versie 21.4.1 van SQLdeveloper vrijgegeven waarin log4j versie 2.16 (fix voor de kwetsbaarheid) opgenomen is. Wij raden u aan om deze versie van SQL developer te downloaden en te gebruiken.
Laatste versie van SQL developer kunt u downloaden via: https://www.oracle.com/tools/downloads/sqldev-downloads.html.
Notepad++ maakt geen gebruik van log4j en wordt derhalve niet geraakt door de hierboven genoemde kwetsbaarheid.
Bij Cadac maken we onderscheid tussen Sales, Service & Support. Sales & Service vinden wij vanzelfsprekend. Wij helpen u met de aanschaf van uw product, dienst, training of expert en zorgen ervoor dat u probleemloos aan de slag kunt. Gratis en voor niets. U kunt zorgeloos met uw software starten, wij zorgen ervoor dat u het meeste uit uw software kunt halen.
Loopt u tegen technische softwareproblemen aan? Dan kunt u gebruik maken van Cadac Support. Door de juiste informatie in te dienen kunnen wij u zo snel mogelijk helpen
