Caros parceiros,
2021/12/13, 18:30 GMT+1
1ª actualização em 2021/12/14, 14:04 GMT+1
2ª actualização 2021/12/15 18:41 GMT+1
Última actualização 2021/12/20 09:47 GMT+1
Como alguns de vós devem saber, um grave vulnerabilidade (CVE-2021-44228) foi detectado no Apache Log4j
Plataforma Shippeo's não utiliza Java como a principal linguagem de desenvolvimento, pelo que não somos directamente afectados por esta questão, mas trabalhamos com subcontratantes/fornecedores que utilizam Java como uma linguagem para desenvolver as suas aplicações.
Placa da OPTC foi auditada (Scan de dependências completas) e a biblioteca incriminada não é utilizada para quaisquer serviços.
Contactámos todos esses fornecedores para garantir a segurança das nossas infra-estruturas e a segurança dos seus dados:
- Pesquisa elástica : A nova versão foi destacado, no dia 13 de dezembro às 16:20 GMT+1
- Dataiku : Verificado e não vulnerável
- Talend : não vulnerável porque utiliza uma versão não impactada de log4j
- Kafka : Verificado e não vulnerável
- Keycloak : Verificado e não vulnerável
- Servidor de mesa :
- Vulnerável mas não foram encontradas provas de exploração
- Uma mitigação foi implementada no dia 14 de Dezembro às 12:30 GMT+1
- Tableau / Salesforce lançou um adesivo em 19/12 que instalámos no mesmo dia
- Algolia : Verificado e não vulnerável
- Jenkins : Verificado e não vulnerável
Não identificámos qualquer outro parceiro, mas continuamos a acompanhar activamente a situação e actualizaremos esta declaração para o futuro
Caso tenha alguma dúvida, por favor, sinta-se à vontade para contactar a nossa equipa de Apoio.