跳转到主内容
Waters员工入口

Knowledge Base Home

Waters China

Log4Shell (log4j) 漏洞是否会影响 Empower?- WKB224539

  1. 最后更新
  2. 另存为PDF
文章编号: 224539点击此处访问英文版本文章

环境

  • Empower 软件3.7
  • Empower 3.6.1
  • Empower 3.6.0
  • Empower 3 FR5,包括后续服务版本和修补程序
  • Empower 3 FR4,包括后续服务版本和修补程序
  • Empower 3 FR3,包括后续服务版本和修补程序
  • Empower 3 FR2,包括后续服务版本和修补程序
  • Empower QS
  • Empower QSN
  • Log4Shell
  • Log4j
  • CVE-2021-44228
  • CVE-2021-45046

答案

Apache Log4j 漏洞更新 2022 年 2 月 3 日

Waters 注意到安全研究人员于 2021 年 12 月 9 日宣布的“零日”漏洞 (CVE-2021-44228),它会对一个通用软件包 (Apache log4j) 产生影响。由于 log4j 广泛用于 Web 应用程序和云服务提供商,因此这一漏洞的整个范围很复杂,其影响仍在确定之中。Waters 产品和工程团队将继续调查此事,以了解对 Waters 软件产品的潜在影响。Waters 将提供有关其调查结果的最新信息,并将向客户提供相关信息和/或说明。

Waters Empower 色谱数据系统

Waters 对 Empower 色谱数据系统 (CDS) 应用程序二进制文件和标准 Empower 部署中包含的第三方软件代码进行了评估。Waters 目前的调查结果记录如下。请继续查看此页面以获取更多最新信息。

  • 对于所有版本的 Waters Empower CDS,Empower 应用程序代码库并非基于 Java 构建,也不使用 Apache log4j 库。
  • Empower 个人版、Empower 工作组和 Empower 企业版提供包含 Apache log4j 库的 Oracle 数据库安装(更多详细信息请参阅下文),但 Waters 支持的 Empower CDS 的缺省实现不依赖或使用 log4j 库来实现正常的应用程序功能。
  • Waters 测试了所有受支持版本的 Empower,并确定可以安全隔离或移除包含由 Oracle 安装使用 Waters 提供的媒介部署的受影响 Log4j 库的目录。建议使用 zip 或等效实用程序通过归档受影响的目录进行隔离,而不是移除,因为此操作是可逆的,出错的几率较低。

 

  • Empower 3.6.x
  • Empower 个人版、Empower 工作组和 Empower 企业版 3.6.x 版的缺省安装包括包含 Apache log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache log4j 库版本。受影响的 log4j 库位于:

\Empower\Oracle\Oracle19c\md\property_graph\lib
这是与 Oracle 数据库软件捆绑在一起的 Oracle Spatial 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Empower CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Empower\Oracle\Oracle19c\md,而不会影响 Empower 正常运行。

\Empower\Oracle\Oracle19c\sqldeveloper\sqldeveloper\lib
虽然存在受影响的 log4j 库,但 SQL Developer 不使用它。(Oracle 文档 ID 2828123.1)Empower 产品操作不使用也不强制安装 SQL Developer。可以安全地隔离或移除父目录 \Empower\Oracle\Oracle19c\sqldeveloper,而不会影响 Empower 正常运行。

\Empower\Oracle\Oracle19c\suptools\tfa\release\tfa_home\jlib
这是与 Oracle 数据库软件捆绑在一起的 Oracle Trace File Analyzer 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Empower CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Empower\Oracle\Oracle19c\suptools\tfa,而不会影响 Empower 正常运行。

  • Empower 客户端或 Empower LAC/E 3.6.x 版的缺省安装不包含 Apache Log4j 库,并且不受 Log4j 漏洞的影响。

 

  • Empower 3 FR5
  • 基于 Empower 3 FR5 的 Empower 个人版、Empower 工作组和 Empower 企业版的缺省安装包括包含 Apache log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache log4j 库版本。受影响的 log4j 库位于:

\Empower\Oracle\Oracle18c\md\jlib
这是与 Oracle 数据库软件捆绑在一起的 Oracle Spatial 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Empower CDS 产品不使用此组件。可以安全地隔离或移除父目录 Empower\Oracle\Oracle18c\md,而不会影响 Empower 正常运行。

\Empower\Oracle\Oracle18c\md\property_graph\lib
这是与 Oracle 数据库软件捆绑在一起的 Oracle Spatial 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Empower CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Empower\Oracle\Oracle18c\md,而不会影响 Empower 正常运行

\Empower\Oracle\Oracle18c\sqldeveloper\sqldeveloper\lib
虽然存在受影响的 log4j 库,但 SQL Developer 不使用它。(Oracle 文档 ID 2828123.1)Empower 产品操作中不使用也不强制安装 SQL Developer。可以安全地隔离或移除父目录 \Empower\Oracle\Oracle18c\sqldeveloper,而不会影响 Empower 正常运行。

\Empower\Oracle\Oracle18c\sqldeveloper\sqldeveloper\extensions\oracle.sqldeveloper.onsd\lib
虽然存在受影响的 log4j 库,但 SQL Developer 不使用它。(Oracle 文档 ID 2828123.1)Empower 产品操作中不使用也不强制安装 SQL Developer。可以安全地隔离或移除父目录 \Empower\Oracle\Oracle18c\sqldeveloper,而不会影响 Empower 正常运行。

\Empower\Oracle\Oracle18c\oui\jlib
Oracle Universal Installer 不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

  • Empower 客户端或基于 Empower 3 FR5 的 Empower LAC/E 版本的缺省安装不包含 Apache Log4j 库,并且不受 log4j 漏洞的影响。

 

  • Empower 3 FR4
  • 基于 Empower 3 FR4 的 Empower 个人版、Empower 工作组和 Empower 企业版的缺省安装包括包含 Apache log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache log4j 库版本。受影响的 Log4j 库位于:

\Empower\Oracle\Oracle12c\ccr\lib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle12c\oc4j\ant\lib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle12c\sysman\jlib\ocm
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle12c\sqldeveloper\sqldeveloper\lib
虽然存在受影响的 log4j 库,但 SQL Developer 不使用它。(Oracle 文档 ID 2828123.1)Empower 产品操作不使用也不强制安装 SQL Developer。可以安全地隔离或移除父目录 \Empower\Oracle\Oracle12c\sqldeveloper,而不会影响 Empower 正常运行。

\Empower\Oracle\Oracle12c\oui\jlib\jlib
Oracle Universal Installer 不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

  • Empower 客户端或基于 Empower 3 FR4 的 Empower LAC/E 版本的缺省安装包含位于以下位置的 Apache log4j 库:

\Empower\Oracle\Oracle12cClient\oui\jlib\jlib
Oracle Universal Installer 不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

  • Empower 3 FR3
  • 基于 Empower 3 FR3 的 Empower 个人版、Empower 工作组和 Empower 企业版的缺省安装包括包含 Apache log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache log4j 库版本。Apache log4j 库位于:

\Empower\Oracle\Oracle11g_4\ccr\lib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle11g_4\oc4j\ant\lib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle11g_4\sysman\jlib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle11g_4\sysman\jlib\ocm
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle11g_4\oui\jlib\jlib
Oracle Universal Installer 不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

  • Empower 客户端或基于 Empower 3 FR3 的 Empower LAC/E 版本的缺省安装包含 Apache log4j 库。Apache log4j 库位于:

\Empower\Oracle\Oracle11gClient_4\oui\jlib\jlib
Oracle Universal Installer 不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle11gClient_4\sysman\jlib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

 

  • Empower 3 FR2
  • 基于 Empower 3 FR2 的 Empower 个人版、Empower 工作组和 Empower 企业版的缺省安装包括包含 Apache log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache log4j 库版本。Apache log4j 库位于:

\Empower\Oracle\Oracle11g_2\sysman\jlib\ocm
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle11g_2\sysman\jlib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle11g_2\oui\jlib\jlib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle11g_2\oc4\ant\lib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle11g_2\ccr\lib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle11g_2\inventory\scripts\ext\jlib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

  • Empower 客户端或基于 Empower 3 FR2 的 Empower LAC/E 版本的缺省安装包含 Apache log4j 库。这些环境的漏洞扫描可能会识别出易受攻击的 Apache log4j 库版本。Apache log4j 库位于:

\Empower\Oracle\Oracle11gClient_2\sysman\jlib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle11gClient_2\oui\jlib\jlib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle11gClient_2\OPatch\ocm\lib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

\Empower\Oracle\Oracle11gClient_2\ccr\lib
1.x 版 log4j 库不受 log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

 

  • Waters 还评估了 log4j 漏洞对以下经常与 Empower 结合使用的产品的可能影响。

Sample Set Generator

Empower Inventory Viewer

Sample Weight Importer

Waters 数据转换器 2.1 版

Waters 数据转换器 3.2 版

SecureSync 1.0 版

Waters Instrument Drivers

Waters ICF Support Layer

扫描 Agilent Instrument Control Framework 和相关驱动程序是否存在 log4j 库。未找到。

附加信息

对于未使用 Waters 提供的 Oracle 数据库软件的 Empower 数据库安装,请联系相应的供应商以评估特定环境中的这一漏洞。

 

id224539, EMP2LIC, EMP2OPT, EMP2SW, EMP3GC, EMP3LIC, EMP3OPT, EMP3SW, EMPGC, EMPGPC, EMPLIC, EMPOWER2, EMPOWER3, EMPSW, SUP, 安捷伦