Op dit moment wordt er veel onderzoek gedaan naar kwetsbaarheden door het recent ontdekte veiligheidslek in Apache Log4j. Bij deze informeren we graag dat de software van Paragin hier niet kwetsbaar voor is of is geweest.
Er waren potentieel kwetsbare installaties van Log4j in onze serverinfrastructuur met Sentry, Elasticsearch en Logstash (Elastic). Voor alle aangetroffen installaties is op vrijdag 10 december direct mitigatie toegepast, in afwachting van officiële berichten. Doorlopend zijn vrijdag en in het weekend analyses uitgevoerd op alle servers of er potentieel misbruik plaatsvond, wat niet het geval is.
Op zondag 12 december is bekend gemaakt vanuit de leveranciers dat zowel Sentry als Elastic in de door ons gebruikte configuratie niet kwetsbaar is geweest voor remote command execution. De software van Paragin en daarmee van onze klanten, partners en gebruikers is dus niet kwetsbaar geweest hierdoor.
We hopen iedere geïnteresseerde hiermee goed te hebben geïnformeerd en horen het natuurlijk graag wanneer er eventueel nog aanvullende informatie is gewenst.
