14. december 2021
Kritična ranljivost Java knjižnice Apache Log4j in uporabniki sistema KADRIS 4.7
Spoštovani skrbniki in uporabniki sistema KADRIS 4.7!
Obveščamo vas, da je bila v programski knjižnici Java logging library Log4j odkrita kritična ranljivost z oznako CVE-2021-44228, ki napadalcem omogoča izvajanje poljubne kode na sistemu (RCE – remote code execution) ali krajo občutljivih informacij. Do zlorabe ranljivosti pride ob vnosu zlonamerne povezave namesto vnosa podatka v sistem, če se ta podatek brez kontrol ali sprememb zapiše (logira) z omenjeno knjižnico. Razglašeno je tudi stanje povečane ogroženosti varnosti omrežij in informacijskih sistemov s strani Urada Vlade Republike Slovenije za informacijsko varnost (URSIV): https://www.gov.si/novice/2021-12-14-razglaseno-stanje-povecane-ogrozenosti-varnosti-omrezij-in-informacijskih-sistemov/.
Skrbnike in uporabnike sistema KADRIS 4.7, ki pri svojem delu uporabljate programsko knjižnico Java logging library Log4j obveščamo, da naš sistem KADRIS 4.7 za omenjeno zlorabo ni ranljiv, ker:
- je logiranje z Java knjižnico Log4j v standardni postavitvi izklopljeno,
- je večina sistemov dostopna le iz intraneta in je uporabnik znan,
- se v login oknu ne logira uporabniškega imena in gesla,
- je bil vklop Java knjižnice Log4j izveden le za modul Syslog, ki nima javno dostopnega uporabniškega vmesnika.
Pri implementaciji sistema KADRIS 4.7 uporabljamo določene komponente in postopke, ki bi lahko vsebovali omenjeno ranljivost.
Seznam uporabljenih komponent:
- Java del sistema KADRIS 4.7 – privzeta prijava (logiranje) v tem delu je izklopljeno. Pri strankah, kjer je prijava s to knjižnico vklopljena, bomo nastavili parameter Dlog4j2.formatMsgNoLookups=true, ki reši težavo s kritično ranljivostjo v knjižnici.
- Oracle REST Data Services - je razvit v Javi, a ne uporablja te knjižnice. Več informacij: https://blogs.oracle.com/security/post/cve-2021-44228.
- Internetni strežnik Apache - ni razvit v Javi in posledično ne uporablja te knjižnice.
- Aplikacijski strežnik WildFly - za prijavo (logiranje) napak uporablja to knjižnico v verziji brez omenjene ranljivosti. Uradni odgovor proizvajalca se nahaja na povezavi: https://twitter.com/WildFlyAS/status/1469362190536818688.
- Aplikacijski strežnik Tomcat - za svoje delovanje ne uporablja omenjene knjižnice in zato ni podvržen opisani kritični ranljivosti. Uradni odgovor proizvajalca se nahaja na povezavi: https://www.tomitribe.com/blog/cve-2021-44228-log4shell-vulnerability/.
- Aplikacijski strežnik WebLogic - Oracle v svoji dokumentaciji navaja, da aplikacijski strežnik WebLogic ni občutljiv na kritično ranljivost te knjižnice. Več informacij: https://blogs.oracle.com/security/post/cve-2021-44228.
- Podatkovni strežnik Oracle - nekaterim baznim strežnikom Oracle je ta knjižnica priložena, ampak Oracle navaja, da njihovi podatkovni strežniki niso občutljivi na omenjeno kritično ranljivost. Več informacij: https://blogs.oracle.com/security/post/cve-2021-44228 ali na njihovi intranet strani: https://login.oracle.com/mysso/signon.jsp (na voljo samo za registrirane uporabnike).
Uporabnike sistema KADRIS 4.7 z vklopljeno uporabo Java knjižnice Log4j že proaktivno obveščamo in z nastavitvami na aplikacijskem strežniku povečujemo varnost sistema KADRIS 4.7.
Sistem KADRIS 4.7 v verziji 4761 NF13, ki bo izdana predvidoma 15.12.2021, ne bo več vsebovala Java knjižnice Log4j2 z omenjeno ranljivostjo.
Za več ali dodatne informacije nas kontaktirajte na: podpora@cetrtapot.si ali 04 280 66 22.
Arhiv novic
- 2023
- 2022
- 2021
- 2020
- 2019
- 2018
- 2017
- 2016
- 2015
- 2014
- 2013
- 2010
- 2009
- 2008
- 2007
- 2006
- 2005
- - [Zakonske novosti] Novosti evidentiranja delovnega časa in skladnost KADRIS 4 z novim zakonom
- - Prejeli smo kristalno plaketo bonitetne odličnosti CompanyWall
- - [Finance IKT anketa] Kakšno leto 2023 napovedujejo direktorji in direktorice slovenskih IT podjetij?
- - [ZAKONSKE NOVOSTI] Uredba o davčni obravnavi povračil stroškov in drugih dohodkov
- - Ponovno prejeli certifikat platinaste bonitetne odličnosti
- - [NOVO LETO 2023] Namesto poslovnih daril donirali Bolnišnici za ginekologijo in porodništvo Kranj
- - [ZAKONSKE NOVOSTI] Obvezno vlaganje eZahtevkov za refundacijo nadomestil plač v KADRIS 4
- - [18.10.2022 Nova Kovačnica] ČETRTA POT na otvoritvi uspešnih zgodb gorenjskega podjetništva
- - [5.-6.10.2022] ČETRTA POT NA SEJMU ADRIA SECURITY SUMMIT
- - Pozor! Preko ponarejene elektronske pošte z naslovom naročilnica 271 se širi nevarni virus
- - Prejeli smo svečano listino Univerze v Mariboru
- - Prejeli smo certifikat bonitetne odličnosti AA+ CompanyWall
- - [OPOZORILO ZA STRANKE] KADRIS 4 na podatkovni bazi Oracle 11g ne deluje več
- - Microsoft ukinja delovanje brskalnika Internet Explorer 11
- - [5.-6.10.2022] ADRIA SECURITY SUMMIT – Se vidimo na stojnici št. 117
- - [KMETIJSKA in ŽIVILSKA INDUSTRIJA] Prevozi na delo & Malica - sprememba višine povračila stroškov
- - [ZAKONSKE NOVOSTI] Prevozi na delo & Potni nalogi - sprememba višine povračila stroškov
- - iF DESIGN nagrada za ČETRTO POT in produkt CMX3
- - Sistemi kontrole dostopa certificirani po varnostnem standardu SIST EN 60839-11-1:2013 (razred 4)
- - Sprememba povezave do produkcijskega okolja portala SPOT in delovanja vmesnikov eHRS, eBOL, eNDM
- - [VIDEO] Hibridno delo - rešitve za evidentiranje delovnega časa
- - [10. in 11. april 2022] Slovenski kadrovski kongres
- - [24. marec 2022] FOV 41. Mednarodna konferenca o razvoju organizacijskih znanosti
- - [10. in 11. marec 2022] Zdravstveni razvojni forum
- - [ZAKONSKE NOVOSTI & JAVNI SEKTOR] Ocenjevanje in napredovanje javnih uslužbencev
- - [ZAKONSKE NOVOSTI & BOLNIŠNICE] Obrazec 3 - Poročilo za spremljanje kadrov
- - [ZAKONSKE NOVOSTI & JAVNI SEKTOR] Spremenjen kadrovski načrt zaradi novih virov financiranja
- - [ZAKONSKE NOVOSTI & JAVNI SEKTOR] Nov šifrant virov financiranja
- - [ZAKONSKE NOVOSTI] Bolniška odsotnost v breme delodajalca skrajšana s 30 na 20 delovnih dni!
- - [AKADEMIJA] Posnetki webinarjev in predavanj na dogodkih
- - [PKP10 UKREPI] Ključni opisi rešitev v KADRIS 4
- - Že tretje leto zapored platinasti v bonitetni odličnosti AAA
- - Kritična ranljivost Java knjižnice Apache Log4j in uporabniki sistema KADRIS 4.7
- - [ZAKONSKE NOVOSTI] Spremembe plačnih razredov v zdravstvu in potrebne akcije v KADRIS 4
- - [DVIG CEN 2022] Sprememba cenovne politike pri nabavi strojne opreme in vrednosti storitev
- - [COVID-19 & PCT] Četrta pot razvila ločeni rešitvi za preverjanje veljavnosti pogoja PCT
- - [COVID-19 območja] Evidenca dela na COVID-19 oddelkih
- - ČETRTA POT postala lastnica IT podjetij Burdian in SPIN
- - [ZAKONSKE NOVOSTI] Nove davčne obravnave povračil stroškov prevoza na in z dela
- - [JAVNI RAZPIS P4D React EU 2021] Digitalizacija poslovnih procesov z rešitvami Četrte poti
- - [ZAKONSKE NOVOSTI] Dogovor o odpravi varčevalnih ukrepov v javnem sektorju
- - [PRODUKTNE NOVOSTI] Masovna obdelava M-obrazcev za lažjo komunikacijo z državnimi institucijami
- - [ZAKONSKE NOVOSTI] Nova vrsta odsotnosti za sobivanje staršev z bolnim otrokom
- - [ZAKONSKE NOVOSTI] Izpis podatkov iz KADRIS 4 za obvestilo IRSD o delu na domu preko portala SPOT
- - [PKP8 UKREPI] Ključni ukrepi z opisi rešitev v KADRIS 4
- - [PKP7 UKREPI] GRATIS izpis kandidatov za upokojitev za uporabnike Ocenjevanja javnih uslužbencev
- - [PKP7 UKREPI] 100% nadomestila za bolniške v zdravstvenih in socialno varstvenih dejavnostih
- - [PKP7 UKREPI] Predlanski in lanski dopust
- - [PKP7 UKREPI] Novosti in dopolnitve v KADRIS 4
- - [COVID-19 & Ustavitev javnega potniškega prometa]: Prevozi na delo 16.11.-30.11.2020
- - [PKP4 & PKP5 UKREPI] Beleženje odsotnosti
- - [COVID-19 OBVESTILO] Četrta pot zagotavlja nemoteno delovanje
- - [COVID-19 & Merjenje temperature]
- - [ZAKONSKE NOVOSTI] Javni uslužbenci upravičeni do izplačila nagrad redne delovne uspešnosti
- - ZIUZEOP & COVID-19: Digitalizirane bolniške odsotnosti - le klik do zakonske refundacije nadomestil
- - ZIUZEOP & COVID-19: Oprostitev plačila prispevkov za socialno varnost v KADRIS 4
- - Četrta pot zagotavlja kontinuiteto svojih storitev v skladu z direktivami o varovanju zdravja
- - AKTUALNO: Kako voditi delovni čas dela na domu zaradi koronavirusa?
- - Prilagoditev komunikacije aplikacij Četrte poti z aktivnim imenikom (AD) po Microsoft popravku
- - ZAKONSKE SPREMEMBE – novi M obrazci in oddaja preko modula KADRIS 4: KIS – eVEM
- - KADRIS 4: RIS - Elektronski bolniški list (obrazec eBOL)
- - [9.1.2020 FOV]: Strokovni ogled delovnega okolja
- - [2. in 9.12.2019 Šolski center Kranj]: Strokovna ekskurzija študentov
- - Četrta pot prejemnica certifikata Platinasta bonitetna odličnost AAA
- - [17.-18.10.2019 Srečanje ekonomistov v zdravstvu]
- - Nagradna igra Kolo sreče KADRIS 4 od 17. 10. do 20. 11. 2019
- - [14.-15. oktober 2019: konferenca MakeIT 2019]
- - Forum NFC praznuje 15 let inovacij
- - Aktivni na področju promocije podjetja Četrta pot med študenti
- - Četrta pot promocijsko aktivna v prvi polovici leta 2019
- - 12. Poslovni tek trojk // 24. maj 2019
- - Kadrovski posvet: Digitalizacija procesov in njen vpliv na ravnanje z ljudmi // 23. maj 2019
- - ADMA: Četrta pot letos prvič v programskem delu kongresa // 16. in 17. maj 2019
- - Terminali za registracijo delovnega časa vgrajeni v hitro prehodna vrata (speed gate)
- - SKK: Četrta pot soustvarja vsebine na Slovenskem kadrovskem kongresu
- - Nagradna igra Kolo sreče KADRIS 4 traja od 4. 4. 2019 do 23. 5. 2019
- - SKK: Posebne ugodnosti za stranke Četrte poti
- - Zaposlitveni sejem EESTEC JobFair: predstavitev in hitri zmenki // 18. in 21. marec 2019
- - HR KONFERENCA: predavanje Digitalizacija HR funkcije // 27. marec 2019
- - SKK: aktivni na Slovenskem kadrovskem kongresu // 4. in 5. maj 2019
- - Četrta pot postala članica SBC – Kluba slovenskih podjetnikov
- - Četrta pot prejemnica certifikata Zlata bonitetna odličnost AAA
- - Četrta pot & Kadrovski izzivi v 2019
- - Četrta pot & Strokovno srečanje ravnateljev in ravnateljic srednjega šolstva
- - Četrta pot sponzor HR&M konference v Ljubljani
- - Četrta pot na strokovnem srečanju #OŠravnatelji2018
- - Zaposlimo sistemskega administratorja
- - Četrta pot na jesenskem srečanju ekonomistov in poslovodni delavcev v zdravstvu
- - Četrta pot na konferenci #makeitconf18
- - Zaposlimo svetovalca-uvajalca za programsko podporo
- - Skladnost sistema KADRIS 4 z uredbo GDPR
- - Modernizacija plačevanja vozovnic na Hrvaških železnicah
- - Digitalizacija rekreativnega Poslovnega teka trojk
- - Pridobljeni znak Slovenska kakovost SQ
- - Programska oprema Četrta pot in stare verzije podatkovne baze Oracle
- - Zlata nit 2015 - podelitev priznanj
- - IT Trans - trendi v javnem potniškem prometu
- - Devetič tkani z zlato nitjo najboljših zaposlovalcev
- - Vrhunska tehnologija Četrta pot na CES 2016 v Las Vegasu
- - 'Spletna zver' na konferenci SIOUG 2015
- - Četrta pot gre z inovacijami samo navzgor
- - Garažna hiša v Domžalah s parkirnim sistemom Četrta pot
- - Osvežitev malega mobilnega terminala Casio
- - Inženirji bodo o svoji karieri odločali sami!
- - Menjava starih krmilnih enot VT1 z novimi VT-500
- - Ukinitev dobave registracijskih terminalov TR1
- - Dijaki Gimnazije Kranj pripravili spektakel
- - Dobrodelni Poslovni tek trojk 2015
- - Četrta pot na Tednu mladih 2015
- - Celovita rešitev je cenejša od treh sistemov
- - Finance: Kadris 4 v več kot 1.200 podjetjih
- - Rešitev Kadris 4 uporablja več kot 1.200 slovenskih podjetij
- - Nikoli ne prelomimo dane besede
- - Četrta pot si obeta 40-odstotno rast prihodkov
- - Krizo prebrodili razmeroma mirno
- - Četrt stoletja za Četrto pot
- - SŽ morda ne bodo integrirale potniškega prometa
- - Uspešne zgodbe se povezujejo!
- - Napovedujemo: 25 let Četrte poti ali Uspešne zgodbe se povezujejo!
- - Kakšno leto 2010 si boste izbrali?
- - ORACLE podelil Četrti poti priznanje za uspešno delo
- - NXP in Četrta pot podpisala pogodbo o sodelovanju
- - Četrta pot na mednarodnem sejmu UITP 2009
- - Predstavitev informacijske rešitve za kadrovske službe
- - Novosti sistema RIS4i v enem dopoldnevu
- - Predstavitev delovanja registracije delovnega časa
- - Mobilni zajem podatkov: Dachser se je odločil za CASIO
- - Mobilni zajem podatkov: Dachser se je odločil za CASIO
- - Prva letošnja predstavitev sistema KADRIS
- - KADRIS - nova funkcionalnost: Napredovanja ZSPJS
- - KADRIS - nova funkcionalnost: Redna delovna uspešnost
- - Predstavitev novosti v sistemu e-karta ter koncepta enotne vozovnice
- - Udeležili smo se kariernega sejma KARIERA 08
- - Predstavili smo registrirni informacijski sistem RIS4i
- - NXP izbral terminal TA-400 za demonstracijo MIFARE Plus
- - Finance: e-karta gre naprej!
- - 11. HRM konferenca o ravnanju z ljudmi pri delu
- - Uspešno smo izvedli predstavitev sistema KADRIS
- - NFC - tehnologija prihodnosti na mobilnih telefonih
- - Utrinki s 13. srečanja SIOUG 2008
- - HRM konferenca Slovenskega zavarovalnega združenja
- - Brez zapletov pri plačah v javnem sektorju
- - Zenicatrans prva v BiH uvaja brezkontaktne plačilne kartice
- - Novo v ponudbi mobilnih terminalov - Casio DT-X30
- - Pridružite se nam na strokovnem srečanju SIOUG 2008
- - KADRIS - podpora spremembi plač v javnem sektorju
- - Enotna mestna kartica - odzivi medijev na odločitev MOL
- - Enotna mestna kartica v Mestni občini Ljubljana
- - Mestno kartico bo verjetno dobavila ČETRTA POT
- - Ultra ni najugodnejša
- - NOVO! Identifikacijske rešitve za osnovne in srednje šole
- - KADRIS - Nova funkcionalnost: Nadrejeni
- - Prenovljene spletne strani www.cetrtapot.si
- - Nove cene storitev
- - Dnevi kadrovskih delavcev 2008
- - Odprava ročne prodaje vozovnic na Slovenskih železnicah
- - KADRIS - Nova funkcionalnost: Interni telefonski imenik
- - Podpora ob 25-letnici Zveze Sonček
- - Zaživela je stran www.e-karta.si
- - KADRIS - Uporabno: državni portal za poslovne subjekte
- - ČETRTA POT na sejmu KARIERA 2007
- - Jubilejna 10. HRM konferenca o ravnanju z ljudmi pri delu
- - Konferenca SIOUG
- - Humanitarna delovna akcija v Železnikih
- - Gorenjska gazela 2007 je Seaway
- - ČETRTA POT nominirana za Gorenjsko gazelo 2007
- - Nacionalna delavnica UITP v Skopju
- - 57. svetovni kongres UITP v Helsinkih
- - 11. Dnevi kadrovskih delavcev 2007
- - Dan Oracle Aplikacij (Oracle Applications Unlimited)
- - V. kadrovski forum javne uprave
- - ČETRTA POT prejela licenco Ministrstva za notranje zadeve
- - ČETRTA POT kmalu na svoji zemlji
- - HRM konferenca in SIOUG 2006
- - 2. regionalna konferenca UITP letos v Beogradu
- - Sofinanciranje usposabljanja in izobraževanja zaposlenih
- - Prva uspešna uvedba Oracle HRMS v Sloveniji
- - Identifikacija s prstnim odtisom: da ali ne?
- - 10. Dnevi kadrovskih delavcev 2006
- - ČETRTA POT prilagodila aplikacije za prehod na evro
- - E-vozovnica kmalu tudi v železniškem potniškem prometu