De kans bestaat dat je iets hebt gehoord over kwaadwillende hackers die gebruik proberen te maken van een gat in de veelgebruikte software log4j. En het is logisch dat je, als je werkt met onze Streams, benieuwd bent of ook jij daardoor kwetsbaar bent. Laten we je voor we alles uitleggen eerst het goede nieuws brengen: Pro4all maakt geen gebruik van dit pakket en is daardoor niet vatbaar voor dit lek.
Wat is log4j?
Log4j is een softwarepakket van Apache dat op grote schaal wordt gebruikt en onder meer Amazon, Apple, Twitter en Tesla maken er gebruik van. Simpel gezegd wordt het gebruikt om logs bij te houden over de inhoud van Java-code. Voor een technische analyse kun je het best even hier kijken.
Pro4all maakt geen gebruik van dit pakket
Dat is natuurlijk goed nieuws, maar uiteraard hebben we de boel nog even iets verder uitgeplozen om er zeker van te zijn dat ook ondersteunende software geen problemen oplevert. Ook wij gebruiken namelijk een aantal applicaties op basis van Java, maar uit een initiële check blijken ook die niet vatbaar zijn voor het lek. Om er qua zekerheid nog een schepje bovenop te doen, hebben we de configuratie van alle processen geüpdatet. Daarnaast is het goed om te weten dat de Docstream-client gebruik maakt van een zogenaamde port (vertaling naar een ander platform) genaamd log4net (dotnet) en logjs (javascript niet java) en dat deze port NIET vatbaar is voor dit lek.
Waarom is onze software niet kwetsbaar (het technische verhaal)
We hopen dat je intussen genoeg weet, maar ook voor de technische bollebozen onder ons leggen we graag nog even uit wáárom onze software niet kwetsbaar is. Het gebruik van Java runtime is een preconditie voor deze exploit. In een port zoals log4net of log4j is deze preconditie niet aanwezig. We hebben onze logs nagelopen en vastgesteld dat er geen aanwijzigingen zijn van misbruik.
Heb je na het lezen hiervan meer vragen? Neem vooral even contact met ons op.