Laatste update: 20211216
Het Apache Tika statement over CVE-2021-44228 is te vinden op https://lists.apache.org/thread/qclsdpqyxm0cfsnfjdt2zvs5zjhzj2l1
DataFitness maakt gebruik van de MongoDB Atlas cloud database service. MongoDB heeft een statement gepubliceerd over de Log4j kwetsbaarheid op https://www.mongodb.com/blog/post/log4shell-vulnerability-cve-2021-44228-and-mongodb Daaruit blijkt dat Atlas Search kwetsbaar was en inmiddels gepatcht. DataFitness maakt nog geen geen gebruik van Atlas Search, dus ten tijde van de kwetsbaarheid waren er geen DataFitness omgevingen waarin Atlas Search actief was.
***
Laatste update: 20211214
Op basis van verder onderzoek is inmiddels duidelijk geworden dat de Log4j vulnerability ook relevant is voor Tika 2.0.0 en hoger (zie het overzicht op https://github.com/NCSC-NL/log4shell/tree/main/software). In DataFitness wordt Tika 1.26 als runnable jar gebruikt, met daarin een oudere versie van log4j zonder deze kwetsbaarheid die voor log4j2 geldt. In de DataFitness ControlOne Agent met deze Tika versie, is log4j niet geconfigureerd en daarmee nooit actief gebruikt.
In de DataFitness codebase en installer is ook de momenteel meest recente Tika versie 2.1.0 inbegrepen, deze wordt echter nog niet gebruikt. Uit voorzorg zijn de Tika jars versie 1.26 en 2.1.0 uit de DataFitness codebase verwijderd, in afwachting op een gepatchte Tika versie. Waar aanwezig zijn ook de DataFitness ControlOne Agent installers verwijderd waarin de Tika jar bestanden zijn opgenomen.
Samenvattend: in DataFitness wordt Tika 1.26 alleen zonder de log4j functionaliteit gebruikt, en de inbegrepen 2.1.0 versie wordt nog niet gebruikt. Tika is binnen een DataFitness ControlOne Agent installatie niet als server applicatie of service publiek beschikbaar of rechtstreeks benaderbaar.
***
Laatste update: 20211213
Nadat de Log4j vulnerability (ook bekend onder Log4Shell en andere namen) bekend werd, is direct de code van de DataFitness ControleOne Agent nagelopen, om te onderzoeken of deze kwetsbaarheid impact heeft op oplossingen van Data Ether, en/of op producten, services die van third party leveranciers gebruikt worden.
Tot nu toe hebben we geen hierdoor geraakte onderdelen gevonden, en we benadrukken dat in de ControleOne Agent software Log4j niet wordt gebruikt.
We volgen de situatie nauwlettend en blijven continue onze systemen en services monitoren.
Meer info over deze kwetsbaarheid is te vinden op:
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228
https://bishopfox.com/blog/log4j-zero-day-cve-2021-44228
https://www.kaspersky.com/blog/log4shell-critical-vulnerability-in-apache-log4j/43124/
https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/