Nieuws
Algemene verklaring over kwetsbaarheid Apache Log4j
Algemeen statement
Het Nationaal Cyber Security Centrum (NCSC) heeft Nederlandse bedrijven op vrijdag 10 december gewaarschuwd dat er kwetsbaarheid zit in Apache Log4j. Deze logboeksoftware wordt wereldwijd door bijna alle bedrijven gebruikt voor het bijhouden van digitale logboeken. Meer informatie over de situatie en het beschermen tegen kwetsbaarheid is beschikbaar op www.ncsc.nl.
We monitoren de situatie nauwlettend. We gebruiken verschillende detectiemethoden die ons 24/7 inzicht geven in de situatie. Mocht er een kwetsbare situatie geconstateerd zijn, dan worden we direct gewaarschuwd en zullen we het zo snel mogelijk oplossen.
Als softwareleverancier is cybersecurity onze topprioriteit. Om met deze veiligheidsrisico’s om te gaan hebben onze cybersecurity experts verschillende extra beschermings-maatregelen in onze systemen geïnstalleerd om mogelijke risico’s te allen tijde te beperken. De cybersecurity- en continuïteitsrisico's worden voortdurend herzien en indien nodig bijgewerkt.
We informeren onze partners en klanten over Apache Log4j en wijzen ze op de informatie zoals beschikbaar is op www.cve.org of www.ncsc.nl.
Klanten kunnen voor productspecifieke vragen contact opnemen met onze supportafdeling.
Voor vragen van de media, kunt u contact opnemen met Annemarije Dérogée, via media@exact.com of 015 - 711 51 00.
Veelgestelde vragen
Onderstaand vind je een overzicht van veelgestelde vragen over Exact software en de Apache Log4j kwetsbaarheid. Wij blijven de situatie monitoren.
We monitoren de situatie nauwlettend. We gebruiken verschillende detectiemethoden die ons 24/7 inzicht geven in de situatie. Mocht er een kwetsbare situatie geconstateerd zijn, dan worden we direct gewaarschuwd en zullen we het zo snel mogelijk oplossen.
- Voor Exact Online hebben we geen kwetsbaarheden gevonden.
- Voor Exact Globe hebben we geen kwetsbaarheden gevonden.
- Voor Exact Synergy hebben we geen kwetsbaarheden gevonden.
- Voor Exact Financials hebben we geen kwetsbaarheden gevonden.
In de tabel onderstaand bij 'Specifieke informatie Exact's software en services' is de laatste update beschikbaar van jouw Exact software en services.
Op dit moment is het voor vrijwel alle Exact producten niet nodig om te updaten of te patchen. Alleen wanneer je Elastic Search binnen Synergy of Consolidation powered by LucaNet gebruikt, moet je updaten naar de laatste versie. Neem voor hulp bij het updaten contact op met onze consultancy of supportafdeling.
Als IT-dienstverlener is Exact Cloud Services/ Parentix verantwoordelijk voor het veilig en up to date houden van uw gehele omgeving. Wij dragen er dan ook, naast de al genomen maatregelen, zorg voor dat waar de kwetsbaarheid gevonden wordt we deze zo snel als mogelijk patchen of mitigeren.
Als één van de extra maatregelen in het kader van het Apache Log4j kwetsbaarheid hebben wij geo-blocking aangezet voor onze infrastructuur. Dit houdt in dat we de IP reeksen van volledige landen blokkeren. Als gevolg daarvan kan het zijn dat u geen toegang meer heeft tot de Exact/Parentix omgeving
Mocht u om die reden geen connectie meer kunnen maken, raden we aan om gebruik te maken van VPN software.
Als alternatief kunt u ons vragen om de IP reeks van uw bedrijf te whitelisten. Dit moet een vaste IP reeks zijn. Dynamische reeksen zoals die worden gebruikt in mobiele netwerken kunnen we helaas niet whitelisten.
Indien er vragen zijn over bovenstaand kan er contact worden opgenomen met ons support team.
In het verleden waren de zogenoemde IRMarkDOS bestanden nodig voor de HMRC IRmark functionaliteit voor de Engelse wetgeving. Omdat deze bestanden vanaf 2019 niet meer worden gebruikt door Exact Globe Next, worden deze ook niet meer gedownload bij het installeren of updaten van Exact Globe Next.
Wij hebben ook één component t.b.v. Spaanse wetgeving in onderzocht (FacturaE). In de ServicePack van April 2022 is dit component volledig vervangen. Op dit moment hebben geen componenten meer in gebruik met Log4j.
Wij adviseren elke klant om de Globe installatie bij te werken naar de laatste servicepack. Met de ServicePack van April 2022 zijn alle Log4J componenten verwijderd of vervangen. Voor meer informatie verwijzen wij naar onze release notes.
In de onderstaande tabel vind je specifieke informatie per product en onderdeel. Deze informatie zal worden bijgewerkt zodra er ontwikkelingen plaatsvinden.
| Product/ Service | Component | Status | Explanation | Steps to solve or Workaround by customer/partner |
|---|---|---|---|---|
| Exact Online | All core products | Investigated, no vulnerabilities | In the core product of Exact Online we have not detected any vulnerabilities. | No action needed. |
| Exact Online | Elastic Search | Investigated | The search functionality in Exact Online is hosted by AWS. There is no risk of comprising our Exact Online environment. AWS updated the Elastic Search component and has confirmed that there are no vulnerabilities. | No action needed. |
| Exact Globe | Core product | Investigated, not vulnerable |
The core products did contain an older, not vulnerable, version of Log4J. With the Servicepack of April 2022 this is fixed. All Log4J components are removed from Exact Globe. |
Update to the latest Servicepack. |
| Exact Globe | E-report/Crystal Reports | Investigated, not vulnerable | The default installation of Globe contains just the Crystal Report viewer. This does not contain any vulnerable components. The full version of Crystal Reports (packaged as E-Report) does contain Log4j, but this is an older version that is not vulnerable | No action needed. |
| Consolidation powered by LucaNet | Core product | Investigated, vulnerable, action needed | Consolidation powered by LucaNet uses the Log4j component and has confirmed to be vulnerable. Customers need to update to the latest version. | Action needed: solve the vulnerability by following the steps described in this document. For more information from Lucanet, please check: lucanet.com/en/blog/update-vulnerability-log4j |
| Exact Synergy | Core product | Investigated, not vulnerable | No action needed. | |
| Exact Synergy | Elastic Search | Investigated, vulnerable, action needed - workaround available | Customers who use the Search All feature, and customers who use Elastic Search as search provider for searching the feeds, have installed a version of ElasticSearch, which is vulnerable to information disclosure. It is a function that needs to be installed manually and is only in use by a limited number of customers. | Action needed: solve the vulnerability by following the steps described in the documents linked: EN NL |
| ELIS | Investigated, not vulnerable | No action needed. | ||
| Payroll Plus (Loket) | Investigated, not vulnerable | No action needed. | ||
| Exact AEC | Investigated, not vulnerable | No action needed. | ||
| Dimoni | e-invoicing | Investigated, not vulnerable | In update 360 SP3 the e-invoicing module of Dimoni does not use log4j anymore. In older versions Dimoni uses an old version of Log4J that is not vulnerable. | No action needed. |
| Exact Financials | Investigated, not vulnerable | No action needed. | ||
| ProAcc | Investigated, not vulnerable | No action needed. | ||
| ProQuro | Investigated, not vulnerable | No action needed. | ||
| WMS | Investigated, not vulnerable | No action needed. | ||
| Business Suite | Investigated, not vulnerable | No action needed. | ||
| Digipoort | Investigated, not vulnerable | No action needed. | ||
| DigitaleFactuur | Investigated, not vulnerable | No action needed. | ||
| Reeleezee | Investigated, not vulnerable | No action needed. | ||
| Bouw7 | Investigated, not vulnerable | No action needed. | ||
| Officient | Investigated, not vulnerable | Disabled vulnerable component on Friday 10th of December | No action needed. | |
| Go2UBL | Investigated, not vulnerable | No action needed. | ||
| Gripp | Investigated, not vulnerable | No action needed. | ||
| SRXP | Investigated, not vulnerable | No action needed. | ||
| Winbooks | Investigated, not vulnerable | No action needed. | ||
| BoekhoudGemak | Investigated, not vulnerable | No action needed. | ||
| Audition | Investigated, not vulnerable | No action needed. | ||
| FDS | Investigated, not vulnerable | No action needed. | ||
| Online Samenwerken (OSW) | Investigated, not vulnerable | No action needed. | ||
| FiscaalGemak | Investigated, not vulnerable | No action needed. | ||
| RapportageGemak | Investigated, not vulnerable | No action needed. | ||
| WerkprogrammaGemak | Investigated, not vulnerable | No action needed. | ||
| CommunicatieGemak | Investigated, not vulnerable | No action needed. | ||
| HR & SalarisGemak | Investigated, not vulnerable | No action needed. | ||
| EDI Gateway | Investigated, not vulnerable | No action needed. | ||
| Exact insights (Qlik) | Investigated, not vulnerable | No action needed. | ||
| ScanSys | Investigated, not vulnerable | No action needed. |
