Op 9 december 2021 is door de Apache Software Foundation een “zero day” kritische kwetsbaarheid gemeld in de log4j2 library. Log4j2 wordt door veel applicaties gebruikt, zo ook voor applicaties die in de zorg worden gebruikt.
De melding heeft, op schaal van 1 tot 10, een score van 10 gekregen en is daarmee geclassificeerd als ‘zeer ernstig’.
Als Laméris zijnde merken wij dat bovenstaande vragen oproept bij veel van onze klanten. De meest voorkomende vraag is of de applicaties die bij onze apparatuur geleverd is ook gebruik maakt van Log4j2.
Om deze vraag zo snel en zo adequaat mogelijk te kunnen beantwoorden hebben we een overzicht opgesteld met daarin de diverse applicaties en of hiervoor wel of geen gebruik wordt gemaakt van de log4j2 library:
EyeRIS – Laméris
EyeRIS maakt geen gebruik van de Log4J2 library. De gemelde kwetsbaarheid is dan ook niet van toepassing op EyeRIS.
Navis-EX – NIDEK
Ook Navis-EX maakt geen gebruik van de Log4J2 library. De gemelde kwetsbaarheid is dus ook niet van toepassing op Navis-EX.
EyeSuite – Haag-Streit
EyeSuite maakt geen gebruik van de Log4J2 library. Wel maakt EyeSuite gebruik van de Log4J library. De gebruikte versies zijn versies 1.2.16 en 1.2.17. De gemelde kwetsbaarheid is niet op deze versies van toepassing. Er is dan ook geen aanvullende actie benodigd. Het officiële statement van Haag-Streit is hier te downloaden.
Binoculair Vision Analyser (BVA) – Thomson software solutions
BVA maakt geen gebruik van de Log4J2 library en heeft dan ook geen kwetsbaarheid.
Medmont Studio – Medmont
Medmont maakt geen gebruik van de Log4J2 library. De gemelde kwetsbaarheid is dus ook niet van toepassing op Medmont.
Als software distributeur en ontwikkelaar houden wij de situatie nauwlettend in de gaten. Zodra er een update is, wordt deze pagina bijgewerkt. Mocht in de nabije toekomst blijken dat applicaties van onze leveranciers gebruik maken van de log4J2 library, dan zullen wij onze klanten hier formeel doch actief over informeren.
Wat is log4j?
Met de log4j library kan er een logging functionaliteit worden toegevoegd aan een applicatie. Met deze functionaliteit kunnen verschillende handelingen van zowel de applicatie als de gebruiker worden vastgelegd en opgeslagen op de computer of een andere locatie.
Waar vind ik meer informatie over de melding?
U vindt meer informatie over de melding op: https://nvd.nist.gov/vuln/detail/CVE-2021-44228