Mine områder
Hjelp

Informasjon om sårbarhet kjent som "Spring4Shell"

av Stian Estil

Det er oppdaget en sårbarhet i en 3part komponent som benyttes av mange software produsenter. Denne sårbarheten omtales som "Spring4Shell" på nettet. Via våre nettverk og samarbeidspartnere så fanges slike nyheter svært raskt opp, slik at vi kan undersøke saken.

 

Visma Software har foreløpig ingen indikasjoner på at den kjente sårbarheten påvirker vår programvare eller noen av våre kunder. 

 

På generell basis så er dette mest relevant for skytjenester, siden on-prem i liten grad er eksponert på Internet. Men av erfaring kommer spørsmålene fra alle hold, så derfor legges denne artikkelen også her på Visma Business område.

 

Visma har avanserte systemer for å fange opp sårbarheter i vår programkode og dette inkluderer scanning av 3parts kode som vi benytter. Sårbarheter av mer eller mindre alvorlig art oppdages og utbedres kontinuerlig, og vi varsler ikke kunder om dette. Det er en del av vår leveranse og kvalitetssystem, og blir på lik linje med alle andre tekniske utbedringer vi hele tiden gjør på vår programvare. Derimot varsler vi våre kunder hvis det er mistanke om at sårbarhetene er utnyttet. Det samme gjelder selvsagt hvis sårbarheter beviselig er utnyttet. Da trer helt bestemte prosedyrer i kraft. 

 

Noen slike sårbarheter får for øvrig mer oppmerksomhet enn andre, og når de i stor grad omtales på Internet begynner våre kunder å henvende seg til oss for å spørre om vi kjenner til dette, og har kontroll. Du kan være ganske sikker på, at hvis du leser om en sårbarhet på Internet, ja da har vi allerede jobbet med problemet en god stund. Hvis du ikke har fått noen informasjon fra Visma, så er det da fordi du ikke er berørt. Nå kan det selvsagt ta tid før vi finner ut av om du er berørt eller ikke, men i mellomtiden så er utgangspunktet at du ikke er det. Saken stiller seg selvsagt annerledes hvis du som kunde tar kontakt fordi du mistenker at noen har utnyttet en slik sårbarhet, og derfor har konkrete bekymringer. Da vil vi i så fall behandle din henvendelse som en "incident" og handle deretter. Det samme gjelder hvis du mistenker at programvare fra oss har en sårbarhet, som du tror vi ikke vet om. Det tilfellet kan du lese mer om her.

 

Du kan lese mer om "Spring4Shell" her,

Du kan også søke på "Spring4Shell på nettet, og du vil finne mye teknisk lesestoff.

 

I den grad våre analyser viser at noen av våre produkter er berørt, så vil denne artikkelen oppdateres. Er det mistanke om utnyttelse av sårbarhet vil du som kunde bli kontaktet direkte. Merk også at selv om det skulle vise seg at vi bruker en spesifikk 3partskomponent som blir berørt av en slik sårbarhet, så er sårbarheten ofte knyttet til spesielle versjoner av 3parts komponenten, og i tillegg at den er konfigurert på en spesiell måte.

Du kan selvsagt stille spørsmål her på Community hvis du har generelle spørsmål til dette.

Gå til de områdene du ønsker å legge til og velg "Legg til i Mine områder"