Op 9 december 2021 is er een kwetsbaarheid bekend geworden in Apache log4j2, een wereldwijd veelgebruikt softwarepakket. Op 10 december is ook door het Nationaal Cyber Security Centrum (NCSC) gewaarschuwd voor de risico's van software die intern gebruik maken van log4j2.
Zermelo heeft op 10 december 2021 direct onderzoek gedaan naar de gevolgen van het probleem, en eventuele benodigde acties.
De conclusie van dit onderzoek is dat de Zermelo software waar onze klanten gebruik van maken geen versie van log4j bevat die kwetsbaar is voor het probleem, dat bekend staat als CVE-2021-44228. Dit geldt voor zowel onze SaaS software (het Zermelo Portal en de WebApp), als de Zermelo Desktop software.
Enkele applicaties waar Zermelo intern gebruik van maakt maken wel gebruik van een kwetsbare versie van log4j2, maar voor zo ver bekend niet op een manier die daadwerkelijk tot problemen kan leiden. Uiteraard zijn deze applicaties, uit voorzorg, alsnog voorzien van alle benodigde updates.
Uiteraard blijven we de ontwikkelingen rondom de log4j2 kwetsbaarheid nauwlettend in de gaten houden, en mocht de situatie veranderen zullen we daar zo snel mogelijk melding van maken.