Stanowisko ws. biblioteki Log4j

Systemy SoftMedica nie wykorzystują biblioteki Apache Log4j w wersjach od 2.0 do 2.14.1 włącznie. W związku z tym podatność, .
jaka aktualnie została w bibliotece wykryta nie zagraża oprogramowaniu SoftMedica. Jako producent oprogramowania stale monitorujemy zmiany
w komponentach składowych naszych produktów. Decyzję o aktualizacji danego komponentu podejmujemy na podstawie danych publikowanych przez producenta,
w zestawieniu ze specyfiką pracy naszych systemów i zależnościami jakie musi spełniać aplikacja do współpracy z innym oprogramowaniem. Staramy się
rzetelnie oceniać zyski wynikające z aktualizacji, biorąc pod uwagę stabilność pracy systemów, kompatybilność z pozostałymi komponentami, konieczność
wykonania testów, a przede wszystkim ryzyko wystąpienia możliwych incydentów bezpieczeństwa. Aktualnie dystrybuowane systemy korzystają z biblioteki
Apache Log4j w wersji 1.2.xx. Jest to wersja, która jest w pełni kompatybilna z naszym oprogramowania, a luki bezpieczeństwa w niej wykryte,
po ocenie, w świetle specyfiki pracy systemów SoftMedica nie stanowią okoliczności zwiększających prawdopodobieństwo wystąpienia incydentów bezpieczeństwa.

 

Do wspomnianych należą:

  • Systemy SoftMedica nie są dostępne bezpośrednio z Internetu, pracują w sieci lokalnej, zabezpieczonej przez administratora
    – zgodnie z odrębnymi przepisami/wytycznymi, np. kodeks branżowy RODO dla ochrony zdrowia lub rekomendacje CEZ (Centrum e-Zdrowia).
  • Systemy SoftMedica nie wymagają do normalnej pracy dostępu do Internetu, wyjątkiem są sytuacje wymagające połączenia z platformą P1
    (e-Recepty, e-Skierowania, zdarzenia medyczne itp.). Połączenie z platformą P1 jest realizowane zgodnie z wytycznymi CEZ (Centrum e-Zdrowia).
  • Jeżeli polityka bezpieczeństwa Klienta wymaga odłączenia sieci lokalnej od Internetu, możliwa jest dystrybucja aktualizacji systemów SoftMedica w trybie offline.

W świetle stanowiska CERT Polska, https://cert.pl/posts/2021/12/krytyczna-podatnosc-w-bibliotece-apache-log4j/
została udostępniona aktualizacja migrująca bibliotekę do wersji 2.17.0, jednakże, ze względu na fakt iż aktualna biblioteka w wersji 1.2.xx
nie jest uznana przez firmę SoftMedica za krytyczną, proces migracji zostanie rozłożony w czasie, w toku standardowych aktualizacji.