eFertility maakt voor beide productlijnen, LSFD (eBase) en eWitness gebruik van het ontwikkelplatform van Servoy. Log4J is een onderdeel van de ontwikkelstack van Servoy. Recent is in Log4J een kwetsbaarheid aan het licht gekomen waarbij een aanvaller in staat zou kunnen stellen om ongeauthenticeerd op afstand willekeurige code te injecteren en uit te voeren met de rechten van de betreffende Java-applicatie.
Deze kwetsbaarheid wordt gezien als kritisch. Zie o.a.:
https://www.ncsc.nl/actueel/nieuws/2021/december/10/ernstige-kwetsbaarheid-in-apache-log4j
Het betreft versie 2 van Log4J waarin de kwetsbaarheid is gevonden. De huidig geïnstalleerde versie op de productie en acceptatie omgevingen van onze klanten maakt hier geen gebruik van. De versie is geïntroduceerd in versie 8.4 van Servoy. Onze huidige versie op de servers van al onze klanten is versie 8.3.2 van Servoy. In deze versie wordt Log4J 1 gebruikt. Deze versie is niet vatbaar voor de bekendgemaakte kwetsbaarheid.
De eFertility servers die wel gebruik maken van nieuwere Servoy versies zoals de demo en ontwikkelomgevingen zijn gescand en voorzien van een tijdelijke oplossing waarbij logging van externe activiteit is uitgeschakeld totdat de gepatchte versie van Servoy beschikbaar is en hierop kan worden geïnstalleerd.
Zie voor meer informatie hierover onderstaand bericht van Servoy:
https://servoy.com/java-log4j-vulnerability/