12月22日

所有包含客户数据的环境都已更新,以减轻CVE-2021-44228和CVE-2021-45046中发现的漏洞。

12月18日

我们已经确定的包含客户数据运行版本的Log4j易受CVE-2021-44228攻击的所有环境都已被修补。

12月16日

Apache Log4j漏洞-初步发现

Workday的安全团队继续调查和解决Apache Log4j Java库远程代码执行(RCE)漏洞(cve - 2021 - 44228)。到目前为止,我们还没有发现任何迹象表明客户数据或包含客户数据的环境受到了影响。

该漏洞于12月9日披露,如果系统记录攻击者修改了暴露端点上的字符串值,则攻击者可以在远程服务器上执行代码。Log4j库广泛用于基于java的应用程序中,包括在Workday服务中。

工作日响应

在得知该漏洞后,我们立即展开调查,以确定其潜在影响。我们在许多Workday环境中使用Log4j,并且我们已经在整个Workday服务的环境中测试并部署了针对此漏洞的推荐缓解技术和修复补丁。我们的努力包括通过升级防火墙来防止入侵,以及升级Workday直接使用的Log4j库,并将其包含在其他软件包中。

继续努力

作为标准操作程序的一部分,我们将继续监视可能受Log4j影响的任何环境,并根据需要部署额外的缓解和补救步骤。

该咨询将在获得更多信息后更新。如果客户有其他疑问,请创建支持单或参考我们的资讯保安及信任在工作日社区的页面。

发布: 安全与信任

更多的阅读