for å automatisk få tildelt relevante områder i Mine områder.
for å automatisk få tildelt relevante områder i Mine områder.
Oppdatering 17.12 kl. 11:23
Vi får stadig spørsmål om vi kan bekrefte at dette også gjelder produkt x og y. De produktene som ikke er spesielt angitt har ikke vært berørt, og det er allerede kommunisert. Men for ordens skyld. De produktene som har vært berørt fordi de benyttet en versjon av programvaren med sårbarheten, men som ble fixet i en tidlig fase, og er kommentert tidligere er:
Visma.net Autopay
Visma.net AutoInvoice
Visma.net Approval
De produktene som ikke har vært berørt, fordi de ikke benytter nevnte programvare, eller utgaver av nevnte programvare med kjent sårbarhet er:
Visma.net Payroll (inkludert Time, Calendar, Expense, Payslip)
Visma.net ERP
OSR
Visma Periode & ÅR
Visma Business Cloud
Visma Business productline
Visma Global productline
Visma Document Center
Visma Lønn
Bizweb
Visma Tid
Webfaktura
Finale
Total
VCG
Mange av disse er tillegg on-prem produkter som ikke er eksponert på Internet.
Hvis kunder benytter ikke supporterte og utgåtte utgaver av våre produkter så har vi IKKE noen oversikt over disse. Eksempelvis DI, Paperless, Scenario, Rubicon, Visma Reporting e.l. Det gjelder også versjoner av våre løsninger som er eldre 3 hovedversjoner. (gjelder da kun on-prem). Det er ingenting som tilsier at det er et problem, da de nevnte on-prem løsninger ikke benytter omtalte programvare, men vi gjør ingen aktiv kontroll på eldre versjoner uansett.
Vi bekrefter at vi ikke kjenner til at noen har utnyttet de kjente sårbarhetene. Visma sitt sikkerhetsgruppe er aktiv i fora i hele verden, og vi følger aktivt med på den videre utviklingen i denne saken siden den brer seg i omgang hver eneste dag. Vi fortsetter også å analysere og evaluere saken på tvers av hele Visma. I den grad det skulle tilkomme nye momenter så vil vi informere våre kunder om det.
Se også offisiell engelsk informasjon på https://www.visma.com/blog/log4shell-wide-spread-cyber-threat/
Oppdatering 08:50 14.12.2021
Vi har fått spørsmål om AutoInvoice er berørt. Svaret er ja, og sårbarheten er utbedret også der. Vi har et titalls produkter og underliggende tjenester, og vi lister ikke opp alle som er berørt. Det vi bekrefter er at alle analyser er ferdige, og at alle berørte tjenester er oppdatert. Vi bekrefter også at ingen kundedata er berørt av sårbarhetene.
Oppdatering 13:37 - 13.12.2021
Våre analyser og tiltak viser så langt at alle løsninger som er relevante for Visma Software sine kunder har blitt oppdatert, og at ingen har utnyttet sårbarhetene i omtalte 3part. Visma.net ERP core og Visma.net Payroll core benytter ikke nevnte 3part, og var derfor heller ikke i risikosonen. Artikkelen blir oppdatert videre, kun hvis det dukker opp ny relevant informasjon. Har du spørsmål så er det bare å benytte muligheten her på Visma Community.
Oppdatering 11:45 - 13.12.2021
Spørsmål fra kunder om dette påvirker VCG (Visma Cloud Gateway), linken mellom våre on-prem løsninger og våre skytjenester. Analysene vi har gjort tilsier at VCG ikke er berørt.
Oppdatering 11:13 - 13.12.2021
Jeg er litt imponert over hvordan "systemet" faktisk fungerer i praksis, når det blåser opp til storm.
kl. 02:17 natt til fredag ble det slått alarm fra en av våre automatiske sikkerhetsmekanismer i Visma.net Approval. Visma CSIRT (Computer Incidence Security Response Team) varslet intern kl. 12:17. Våre sårbarhets scanning tjenester varslet samtidig om den samme saken. I tillegg gikk jungeltelegrafen internt. Kl. 13:12 hadde Visma.net Approval teamet indentifisert sårbarheten og tettet hullet i produksjon. Godt jobbet!
Oppdatering 10:56 - 13.12.2021
Fikk akkurat nå bekreftet fra Visma.net Autopay teamet at de i relasjon til meldingen under (10:50), allerede på fredag, 10.12, patchet og fixet sårbarheten. Well done!
Oppdatering kl. 10.50 - 13.12.2021
Visma sitt sikkerhetsteam (CSIRT) ble kjent med utfordringene allerede 10.12, og varslet alle utviklingsteam i Visma, med informasjon, analyser og utbedringsforslag.
Postet kl. 0930 - 13.12.2021
Vi har i dag fått flere forespørsler fra partnere og kunder vedrørende en nylig oppdaget sårbarhet i Apache Log4j, en tredjeparts software som benyttes av mange Software produsenter verden over.
Spørsmålet er hvordan den nyoppdagede sårbarheten påvirker Visma sine løsninger, og hva Visma gjør med saken.
Vårt sikkerhets team er på saken, og denne artikkelen blir oppdatert så raskt som mulig.
Her er link til en av mange beskrivelser av sårbarheten som er oppdaget.
https://thehackernews.com/2021/12/extremely-critical-log4j-vulnerability.html
Karenlyst allé 56
0277 Oslo, Norge
Email: kundesenteret@visma.comCopyright © 2022 Visma.com. All rights reserved.