Estimados socios,
2021/12/13, 18:30 GMT+1
1ª actualización el 2021/12/14, 14:04 GMT+1
2ª actualización 2021/12/15 18:41 GMT+1
Última actualización 2021/12/20 09:47 GMT+1
Como algunos de ustedes saben, una vulnerabilidad grave (CVE-2021-44228) en Apache Log4j
La plataforma de Shippeo no utiliza Java como lenguaje principal de desarrollo, por lo que no nos afecta directamente este problema, pero sí trabajamos con subcontratistas/proveedores que utilizan Java como lenguaje para desarrollar sus aplicaciones.
La plataforma de OPTC ha sido auditada (Full dependencies scan) y la librería incriminada no se utiliza para ningún servicio.
Nos hemos puesto en contacto con todos esos proveedores para garantizar la seguridad de nuestra infraestructura y la de sus datos:
- Búsqueda elástica : Una nueva versión ha sido desplegada, el 13 de diciembre a las 16:20 GMT+1
- Dataiku : Comprobado y no es vulnerable
- Talend : no es vulnerable porque utiliza una versión no afectada de log4j
- Kafka : Comprobado y no vulnerable
- Keycloak : Comprobado y no es vulnerable
- Servidor Tableau :
- Vulnerable pero no se han encontrado pruebas de explotación
- Se ha implementado una mitigación el 14 de diciembre a las 12:30 GMT+1
- Tableau / Salesforce publicó un parche el 19/12 que instalamos el mismo día
- Algolia : Comprobado y no vulnarable
- Jenkins : Comprobado y no es vulnerable
No hemos identificado a ningún otro socio, pero seguimos vigilando activamente la situación y actualizaremos esta declaración en el futuro
Si tiene alguna pregunta, no dude en ponerse en contacto con nuestro equipo de asistencia.