Cari partner,
2021/12/13, 18:30 GMT+1
1° aggiornamento il 2021/12/14, 14:04 GMT+1
2° aggiornamento 2021/12/15 18:41 GMT+1
Ultimo aggiornamento 2021/12/20 09:47 GMT+1
Come alcuni di voi sapranno, una grave vulnerabilità (CVE-2021-44228) è stata rilevata in Apache Log4j
La piattaforma di Shippeo non utilizza Java come linguaggio di sviluppo principale, quindi non siamo direttamente interessati da questo problema, ma lavoriamo con subappaltatori/venditori che utilizzano Java come linguaggio per sviluppare le loro applicazioni.
La piattaforma di OPTC è stata controllata (scansione completa delle dipendenze) e la libreria incriminata non è utilizzata per alcun servizio.
Abbiamo contattato tutti questi fornitori per garantire la sicurezza della nostra infrastruttura e dei vostri dati:
- Ricerca elastica: una nuova versione è stata distribuita il 13 dicembre alle 16:20 GMT+1.
- Dataiku : Controllato e non vulnerabile
- Talend: non è vulnerabile perché utilizza una versione non compromessa di log4j.
- Kafka : Controllato e non vulnerabile
- Keycloak : Controllato e non vulnerabile
- Server Tableau :
- Vulnerabile, ma non sono state trovate prove di sfruttamento.
- Una mitigazione è stata implementata il 14 dicembre alle 12:30 GMT+1.
- Tableau / Salesforce ha rilasciato una patch il 19/12 che abbiamo installato lo stesso giorno.
- Algolia : Controllato e non disponibile
- Jenkins : Controllato e non vulnerabile
Non abbiamo identificato altri partner, ma continuiamo a monitorare attivamente la situazione e aggiorneremo questa dichiarazione in futuro".
Per qualsiasi domanda, non esitate a contattare il nostro team di assistenza.