Algemeen statement vanuit Exact over Apache-lek
(updated 15-12-2021)
Het Nationaal Cyber Security Centrum (NCSC) heeft vrijdagavond 10 december gewaarschuwd dat er een nieuw lek zit in Apache Log4j, logboeksoftware die door bijna alle bedrijven wordt gebruikt voor het bijhouden van digitale logboeken. Meer informatie over het lek en het beschermen tegen deze kwetsbaarheid is beschikbaar op www.ncsc.nl.
De systemen van Exact zijn up to date en we hebben op dit moment geen kwetsbaarheden in onze systemen ontdekt. We blijven de situatie nauwlettend monitoren. We gebruiken verschillende detectie-methoden die ons 24/7 inzicht geven in de situatie. Mocht er een kwetsbare situatie geconstateerd worden, dan worden we direct gewaarschuwd en zullen we het zo snel mogelijk oplossen.
Als softwareleverancier is cybersecurity onze topprioriteit. Om met deze veiligheidsrisico’s om te gaan hebben onze cybersecurity experts verschillende extra beschermings-maatregelen in onze systemen geïnstalleerd om mogelijke risico’s te allen tijde te beperken.
De cyberveiligheids- en continuïteitsrisico’s worden voortdurend herzien en indien nodig bijgewerkt. – Exact Software Nederland
VOLG VOOR DE MEEST ACTUELE INFORMATIE STEEDS DE UPDATES OP DE WEBSITE(S) VAN EXACT ! (EXACT.COM)
In de onderstaande tabel vind je specifieke informatie per product en onderdeel. Deze informatie zal worden bijgewerkt zodra er ontwikkelingen plaatsvinden, wat in de tabel duidelijk wordt gemaakt.
Status 15-12-2021, 16.00 PM CET
| Product/ Service | Component | Status | Explanation | Steps to solve or Workaround by customer/partner |
|---|---|---|---|---|
| Exact Online | All core products | Investigated, no vulnerabilities | In the core product of Exact Online we have not detected any vulnerabilities. | No action needed. |
| Exact Online | Elastic Search | Investigated | The search functionality in Exact Online is hosted by AWS. There is no risk of comprising our Exact Online environment. AWS updated the Elastic Search component and has confirmed that there are no vulnerabilities. | No action needed. |
| Exact Globe | Core product | Investigated, not vulnerable | The core product of Exact Globe contains an older version of Log4j which is not vulnerable. | No action needed. |
| Exact Globe | E-report/Crystal Reports | Investigated, not vulnerable | The default installation of Globe contains just the Crystal Report viewer. This does not contain any vulnerable components. The full version of Crystal Reports (packaged as E-Report) does contain Log4j, but this is an older version that is not vulnerable | No action needed. |
| Consolidation powered by LucaNet | Core product | Under investigation | Consolidation powered by LucaNet uses the Log4j component and has confirmed to be vulnerable. Customers need to update to the latest version. | Action needed: solve the vulnerability by following the steps described in this document.
For more information from Lucanet, please check: lucanet.com/en/blog/update-vulnerability-log4j |
| Exact Synergy | Core product | Investigated, not vulnerable | No action needed. | |
| Exact Synergy | Elastic Search | Investigated, vulnerable | Customers who use the Search All feature, and customers who use Elastic Search as search provider for searching the feeds, have installed a version of ElasticSearch, which is vulnerable to information disclosure. It is a function that needs to be installed manually and is only in use by a limited number of customers. | Action needed: solve the vulnerability by following the steps described in the documents linked: EN NL |
| Payroll Plus (Loket) | Investigated, not vulnerable | No action needed. | ||
| Exact AEC | Investigated, not vulnerable | No action needed. | ||
| Dimoni | e-invoicing | Investigated, not vulnerable | The e-invoicing module of Dimoni uses an old version of Log4j that is not vulnerable. | No action needed. |
| Exact Financials | Investigated, not vulnerable | No action needed. | ||
| ProAcc | Investigated, not vulnerable | No action needed. | ||
| ProQuro | Investigated, not vulnerable | No action needed. | ||
| WMS | Investigated, not vulnerable | No action needed. | ||
| Business Suite | Investigated, not vulnerable | No action needed. | ||
| Digipoort | Investigated, not vulnerable | No action needed. | ||
| DigitaleFactuur | Investigated, not vulnerable | No action needed. | ||
| Reeleezee | Investigated, not vulnerable | No action needed. | ||
| Bouw7 | Investigated, not vulnerable | No action needed. | ||
| Officient | Investigated, not vulnerable | Disabled vulnerable component on Friday 10th of December | No action needed. | |
| Go2UBL | Investigated, not vulnerable | No action needed. | ||
| Gripp | Investigated, not vulnerable | No action needed. | ||
| SRXP | Investigated, not vulnerable | No action needed. | ||
| Winbooks | Investigated, not vulnerable | No action needed. | ||
| BoekhoudGemak | Investigated, not vulnerable | No action needed. | ||
| Audition | Investigated, not vulnerable | No action needed. | ||
| FDS | Investigated, not vulnerable | No action needed. | ||
| Online Samenwerken (OSW) | Investigated, not vulnerable | No action needed. | ||
| FiscaalGemak | Investigated, not vulnerable | No action needed. | ||
| RapportageGemak | Investigated, not vulnerable | No action needed. | ||
| WerkprogrammaGemak | Investigated, not vulnerable | No action needed. | ||
| CommunicatieGemak | Investigated, not vulnerable | No action needed. | ||
| HR & SalarisGemak | Investigated, not vulnerable | No action needed. |
Voor meer informatie en voor het uitvoeren van een update kunt u uiteraard te allen tijde contact opnemen. Bij eventuele vragen over het updaten van uw software is het uiteraard te allen tijde verstandig om vooraf contact met ons op te nemen. Wij kunnen u uiteraard ook altijd ondersteunen bij het installeren van uw updates. Dit kan periodiek geschieden op basis van nacalculatie maar u kunt hiervoor ook een jaarlijkse overeenkomst voor applicatiebeheer afsluiten.
Hoewel een update in eigen beheer kan worden uitgevoerd wordt software steeds complexer. Daarnaast is deze meer en meer verweven met de onderliggende techniek en rollen en rechten op uw infrastructuur. Wij raden u dan in principe ook aan om updates door onze specialisten te laten uitvoeren. Wij maken uiteraard te allen tijde graag een afspraak met u.
