Nieuws

Algemeen statement en veelgestelde vragen Apache Log4j kwetsbaarheid

Algemeen statement Apache-lek

Algemeen statement
Het Nationaal Cyber Security Centrum (NCSC) heeft Nederlandse bedrijven op vrijdag 10 december gewaarschuwd dat er kwetsbaarheid zit in Apache Log4j. Deze logboeksoftware wordt wereldwijd door bijna alle bedrijven gebruikt voor het bijhouden van digitale logboeken. Meer informatie over de situatie en het beschermen tegen kwetsbaarheid is beschikbaar op www.ncsc.nl.

We monitoren de situatie nauwlettend. We gebruiken verschillende detectiemethoden die ons 24/7 inzicht geven in de situatie. Mocht er een kwetsbare situatie geconstateerd zijn, dan worden we direct gewaarschuwd en zullen we het zo snel mogelijk oplossen.

Als softwareleverancier is cybersecurity onze topprioriteit. Om met deze veiligheidsrisico’s om te gaan hebben onze cybersecurity experts verschillende extra beschermings-maatregelen in onze systemen geïnstalleerd om mogelijke risico’s te allen tijde te beperken. De cybersecurity- en continuïteitsrisico's worden voortdurend herzien en indien nodig bijgewerkt.

We informeren onze partners en klanten over Apache Log4j en wijzen ze op de informatie zoals beschikbaar is op www.cve.org of www.ncsc.nl.

Klanten kunnen voor productspecifieke vragen contact opnemen met onze supportafdeling.

Voor vragen van de media, kunt u contact opnemen met Annemarije Dérogée, via media@exact.com of 015 - 711 51 00.

Veelgestelde vragen

Onderstaand vind je een overzicht van veelgestelde vragen over Exact software en de Apache Log4j kwetsbaarheid. Wij blijven de situatie monitoren. We adviseren om deze pagina dagelijks na 12.00 te controleren voor de laatste status.

We monitoren de situatie nauwlettend. We gebruiken verschillende detectiemethoden die ons 24/7 inzicht geven in de situatie. Mocht er een kwetsbare situatie geconstateerd zijn, dan worden we direct gewaarschuwd en zullen we het zo snel mogelijk oplossen.

  • Voor Exact Online hebben we geen kwetsbaarheden gevonden. 
  • Voor Exact Globe hebben we geen kwetsbaarheden gevonden.
  • Voor Exact Synergy hebben we geen kwetsbaarheden gevonden.
  • Voor Exact Financials hebben we geen kwetsbaarheden gevonden.

In de tabel onderstaand bij 'Specifieke informatie Exact's software en services' is de laatste update beschikbaar van jouw Exact software en services.

Op dit moment is het voor vrijwel alle Exact producten niet nodig om te updaten of te patchen. Alleen wanneer je Elastic Search binnen Synergy of Consolidation powered by LucaNet gebruikt, moet je updaten naar de laatste versie. Neem voor hulp bij het updaten contact op met onze consultancy of supportafdeling.

Als IT-dienstverlener is Exact Cloud Services/ Parentix verantwoordelijk voor het veilig en up to date houden van uw gehele omgeving. Wij dragen er dan ook, naast de al genomen maatregelen, zorg voor dat waar de kwetsbaarheid gevonden wordt we deze zo snel als mogelijk patchen of mitigeren.

Als één van de extra maatregelen in het kader van het Apache Log4j kwetsbaarheid hebben wij geo-blocking aangezet voor onze infrastructuur. Dit houdt in dat we de IP reeksen van volledige landen blokkeren. Als gevolg daarvan kan het zijn dat u geen toegang meer heeft tot de Exact/Parentix omgeving 

Mocht u om die reden geen connectie meer kunnen maken, raden we aan om gebruik te maken van VPN software. 

Als alternatief kunt u ons vragen om de IP reeks van uw bedrijf te whitelisten. Dit moet een vaste IP reeks zijn. Dynamische reeksen zoals die worden gebruikt in mobiele netwerken kunnen we helaas niet whitelisten. 

Indien er vragen zijn over bovenstaand kan er contact worden opgenomen met ons support team. 

In de onderstaande tabel vind je specifieke informatie per product en onderdeel. Deze informatie zal worden bijgewerkt zodra er ontwikkelingen plaatsvinden, wat in de tabel duidelijk wordt gemaakt.

Product/ Service Component Status Explanation Steps to solve or Workaround by customer/partner
Exact Online All core products Investigated, no vulnerabilities In the core product of Exact Online we have not detected any vulnerabilities. No action needed.
Exact Online Elastic Search Investigated The search functionality in Exact Online is hosted by AWS. There is no risk of comprising our Exact Online environment. AWS updated the Elastic Search component and has confirmed that there are no vulnerabilities. No action needed.
Exact Globe Core product Investigated, not vulnerable The core product of Exact Globe contains an older version of Log4j which is not vulnerable. No action needed.
Exact Globe E-report/Crystal Reports Investigated, not vulnerable The default installation of Globe contains just the Crystal Report viewer. This does not contain any vulnerable components. The full version of Crystal Reports (packaged as E-Report) does contain Log4j, but this is an older version that is not vulnerable No action needed.
Consolidation powered by LucaNet Core product Investigated, vulnerable, action needed Consolidation powered by LucaNet uses the Log4j component and has confirmed to be vulnerable. Customers need to update to the latest version. Action needed: solve the vulnerability by following the steps described in this document.
For more information from Lucanet, please check: lucanet.com/en/blog/update-vulnerability-log4j
Exact Synergy Core product Investigated, not vulnerable   No action needed.
Exact Synergy Elastic Search Investigated, vulnerable, action needed - workaround available Customers who use the Search All feature, and customers who use Elastic Search as search provider for searching the feeds, have installed a version of ElasticSearch, which is vulnerable to information disclosure. It is a function that needs to be installed manually and is only in use by a limited number of customers. Action needed: solve the vulnerability by following the steps described in the documents linked: EN NL
ELIS   Investigated, not vulnerable   No action needed.
Payroll Plus (Loket)   Investigated, not vulnerable   No action needed.
Exact AEC   Investigated, not vulnerable   No action needed.
Dimoni e-invoicing Investigated, not vulnerable The e-invoicing module of Dimoni uses an old version of Log4j that is not vulnerable. No action needed.
Exact Financials   Investigated, not vulnerable   No action needed.
ProAcc   Investigated, not vulnerable   No action needed.
ProQuro   Investigated, not vulnerable   No action needed.
WMS   Investigated, not vulnerable   No action needed.
Business Suite   Investigated, not vulnerable   No action needed.
Digipoort   Investigated, not vulnerable   No action needed.
DigitaleFactuur   Investigated, not vulnerable   No action needed.
Reeleezee   Investigated, not vulnerable   No action needed.
Bouw7   Investigated, not vulnerable   No action needed.
Officient   Investigated, not vulnerable Disabled vulnerable component on Friday 10th of December No action needed.
Go2UBL   Investigated, not vulnerable   No action needed.
Gripp   Investigated, not vulnerable   No action needed.
SRXP   Investigated, not vulnerable   No action needed.
Winbooks   Investigated, not vulnerable   No action needed.
BoekhoudGemak   Investigated, not vulnerable   No action needed.
Audition   Investigated, not vulnerable   No action needed.
FDS   Investigated, not vulnerable   No action needed.
Online Samenwerken (OSW)   Investigated, not vulnerable   No action needed.
FiscaalGemak   Investigated, not vulnerable   No action needed.
RapportageGemak   Investigated, not vulnerable   No action needed.
WerkprogrammaGemak   Investigated, not vulnerable   No action needed.
CommunicatieGemak   Investigated, not vulnerable   No action needed.
HR & SalarisGemak   Investigated, not vulnerable   No action needed.
EDI Gateway   Investigated, not vulnerable   No action needed.
Exact insights (Qlik)   Investigated, not vulnerable   No action needed.
ScanSys   Investigated, not vulnerable   No action needed.
NL Select your country