Nedan är samlad information kring frågeställningar som kommit från kunder om hur ReachMee påverkas av den sårbarhet som upptäcks i Appache Java modul Log4j
Fråga: Använder Talentech Apache Log4j inom den tekniska plattformen för Reachmee?
Svar: Ja, vi använder ELK (Elastic Search, Logstash och Kibana) och Apache Kafka
Fråga: Innehåller någon av Talentech’s miljöer som hanterar kunders information en sårbar version av Log4j?
Svar: Nej
Vi har uppdaterat förekomster av Apache Log4j i ELK enligt rekommendation och med de uppdaterade versioner som släppts sedan sårbarheten upptäcktes.
Gällande Apache Kafka så är riskbedömningen begränsad (se källor nedan) och dessutom endast gäller om ”Chainsaw” är aktiverat vilket den inte är i vår plattform. Uppgradering av komponenten sker löpande.
Fråga: Påverkas någon av Talentech’s leverantörer av sårbarheten?
Svar: Nej
Fråga: Finns det anledning att befara att kunders data varit tillgängligt för utomstående?
Svar: Nej
Övrig information:
- Talentech följer noggrant utvecklingen kring denna allvarliga sårbarhet och kommer omedelbart agera om ytterligare produkter än de redan kända visar sig ha påverkan för oss och våra kunder.
- Ingen åtgärd krävs hos kunder kopplat till våra tjänster.
Källor:
https://github.com/cisagov/log4j-affected-db
https://cert.se/2021/12/uppdatering-om-det-allvarliga-laget-gallande-sarbarheten-i-log4j
https://www.xeotek.com/is-apachekafka-vulnerable-to-log4j2-exploit/
https://www.cvedetails.com/cvss-score-charts.php?product_id=48980&fromform=1