跳转到主内容
Waters员工入口

Knowledge Base Home

Waters China

log4j 中的 Apache“Log4Shell”漏洞是否会影响 NuGenesis?- WKB224434

  1. 最后更新
  2. 另存为PDF
文章编号: 224434点击此处访问英文版本文章

环境

  • NuGenesis 9
    • Oracle 19c/NuGenesis 9.1
    • Oracle 12c/NuGenesis 9.0
    • JasperSoft Studio v5
  • NuGenesis 8
    • Oracle 11gR2
  • Log4Shell(Log4j 版本 2)
    • CVE-2021-44228
    • CVE-2021-45046
    • CVE-2021-45105
  • Log4Shell(Log4j 版本 1 和 2)
    • CVE-2021-4104

答案

Apache Log4j 漏洞更新 2022 年 2 月 3 日

Waters 注意到安全研究人员于 2021 年 12 月 9 日宣布的“零日”漏洞 (CVE-2021-44228),它会对一个通用软件包 (Apache Log4J) 产生影响。由于 Log4j 广泛用于 Web 应用程序和云服务提供商,因此这一漏洞的整个范围很复杂,其影响仍在确定之中。Waters 产品和工程团队将继续调查此事,以了解对 Waters 软件产品的潜在影响。Waters 将提供有关调查结果的最新信息,并在评估完成时通知客户,向客户提供相关信息和/或说明。

 

Waters NuGenesis

Waters 对 NuGenesis 和 Analytical Workflow Manager (AWM) 应用程序二进制文件和标准 NuGenesis 部署中包含的第三方软件代码进行了评估。这些环境的漏洞扫描可以识别出存在 Apache Log4j 库。1.x 版 Log4j 库实例 – Apache 指示为不受影响 (https://logging.apache.org/log4j/2.x/security.html) – 存在于 NuGenesis 软件的某些组件中。

Waters 测试了所有受支持版本的 NuGenesis 和 Analytical Workflow Manager (AWM),并确定可以安全隔离或移除包含由 Oracle 安装使用 Waters 提供的媒介部署的受影响 Log4j 库的目录。建议使用 zip 或等效实用程序通过归档受影响的目录进行隔离,而不是移除,因为此操作是可逆的,出错的几率较低。Waters 目前的调查结果记录如下。请继续查看此页面以获取更多最新信息。

 

  • NuGenesis 8 和 9 SDMS
  • 核心 SDMS 应用程序不使用 Log4j v2 库。

NuGenesis 9.x 和 NuGenesis 8 SDMS 的所有 Data Adapter 版本中包含的 SDMS Instrument Agents 包含一个 Log4j v1.2.8 库,位于:

<驱动器:>\Program Files\Waters\SDMSInstrumentAgents\lib\org

Instrument Agents 是 Data Adapters 的可选功能,并非所有系统都需要。代理的缺省日志记录配置不使用 JMSAppender 类,因此不受影响。(请参阅 Apache 安全警报:https://logging.apache.org/log4j/2.x/security.html

 

  • NuGenesis 8 和 9 LMS
  • NuGenesis LMS 使用位于以下位置的 LMS 服务器上的 Log4j 库:

NuGenesis 8 LMS 服务器:
<驱动器:>\WatersLMSServer\lib\org
<驱动器:>\WatersLMSServer\Jboss-6.0.0.Final\client
<驱动器>\WatersLMSServer\Jboss-6.0.0.Final\common\lib

Jboss 日志管理器的缺省日志记录配置不使用 JMSAppender 类,因此不受影响(请参阅 Apache 安全警报:https://logging.apache.org/log4j/2.x/security.html

NuGenesis 9.x LMS 服务器:
<驱动器:>\WatersLMSServer\Wildfly-11.0.0.Final\modules\system\layers\base\org\jboss\log4j\logmanager\main - 存在于所有安装中
<驱动器:>\WatersLMSServer\SAPInterface\actback\lib3rd\wildfly - 仅在装有 LMS-SAP 接口时存在
<驱动器:>\WatersLMSServer\Workflow\actback\lib3rd\wildfly - 仅在装有 NuGenesis Connectors 服务器时存在

使用的 Log4j 版本 (1.1.4) 不受 Log4j V2 漏洞的影响(请参阅 Apache 安全警报:https://logging.apache.org/log4j/2.x/security.html

 

  • NuGenesis 9.1、9.2 Oracle Database (Oracle 19c)
  • NuGenesis 9.1 和 9.2 的缺省安装包括包含 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache Log4j 库版本。受影响的 Log4j 库位于:

<驱动器:>\oracle\product\19.6.0\Oracle19c\suptools\tfa
这是与 Oracle 数据库软件捆绑在一起的 Oracle Spatial 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 NuGenesis 产品不使用此组件,并且可以隔离或移除目录 <驱动器:>\oracle\product\19.6.0\Oracle19c\suptools\tfa,而不会影响 NuGenesis 正常运行。

<驱动器:>\oracle\product\19.6.0\Oracle19c\md
这是与 Oracle 数据库软件捆绑在一起的 Oracle Spatial 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 NuGenesis 产品不使用此组件,并且可以隔离或移除目录 <驱动器:>\oracle\product\19.6.0\Oracle19c\md,而不会影响 NuGenesis 正常运行。

 

  • NuGenesis 9.0 Oracle Database (Oracle 12c)
  • NuGenesis 9.0 的缺省安装包括包含 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache Log4j 库版本。受影响的 Log4j 库位于:

log4j v1 库的 1.x 版副本存在于 Oracle Database 12c 和 JasperSoft Studio 程序中。这两种情况均无需采取任何补救措施。(库位于哪里?)此外,JasperSoft Studio 仅用于为 NuGenesis LMS 开发报告。此应用程序的访问权限应仅限于开发 Jasper 报告的人员。

<驱动器:>\Program Files\TIBCO\Jaspersoft Studio-6.4.0\插件
1.x 版 Log4j 库不受影响。(https://community.jaspersoft.com/wik...rsoft-products)

<驱动器:>\oracle\product\12.2.0\Oracle12cR2\ccr\lib
1.x 版 Log4j 库不受影响。(Oracle 文档 ID 2830143.1)

<驱动器:>\oracle\product\12.2.0\Oracle12cR2\sqldeveloper\sqldeveloper\lib
虽然存在受影响的 Log4j 库,但 SQL Developer 不使用它。(Oracle 文档 ID 2828123.1)NuGenesis 产品操作不使用也不强制安装 SQL Developer。可以隔离或移除父目录 <驱动器:>\oracle\product\12.2.0\Oracle12cR2\sqldeveloper,而不会影响 NuGenesis 正常运行。

<驱动器:>\oracle\product\12.2.0\Oracle12cR2\oui\jlib\jlib
Oracle Universal Installer 不受 Log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

<驱动器:>\oracle\product\12.2.0\Oracle12cR2\sysman\jlib\ocm
1.x 版 Log4j 库不受影响。(Oracle 文档 ID 2830143.1)

  • NuGenesis 8.x
  • NuGenesis 8.x 的缺省安装包括包含 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache Log4j 库版本。受影响的 Log4j 库位于:

<驱动器:>\oracle\product\11.2.0\SDMS\inventory\scripts\ext\jlib
1.x 版 Log4j 库不受影响。(Oracle 文档 ID 2830143.1)

<驱动器:>\oracle\product\11.2.0\SDMS\ccr\lib
1.x 版 Log4j 库不受影响。(Oracle 文档 ID 2830143.1)

<驱动器:>\oracle\product\11.2.0\SDMS\oui\jlib\jlib
Oracle Universal Installer 不受 Log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

<驱动器:>\oracle\product\11.2.0\SDMS\sysman\jlib
1.x 版 Log4j 库不受影响。(Oracle 文档 ID 2830143.1)

<驱动器:>\oracle\product\11.2.0\SDMS\sysman\jlib\ocm
1.x 版 Log4j 库不受影响。(Oracle 文档 ID 2830143.1)

 

  • Analytical Workflow Manager (AWM) 2.0
  • AWM 2.0 的缺省安装包括包含 1.x 版 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可以检测到存在 Apache Log4j 库。Log4j 库位于:

<驱动器>:\app\oracle\product\12.1.0\dbhome_1\ccr
1.x 版 Log4j 库不受 Log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

<驱动器>:\app\oracle\product\12.1.0\dbhome_1\sysman
1.x 版 Log4j 库不受 Log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

<驱动器>:\app\oracle\product\12.1.0\dbhome_1\sqldeveloper
1.x 版 Log4j 库不受 Log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

<驱动器>:\app\oracle\product\12.1.0\dbhome_1\oui
Oracle Universal Installer 不受 Log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)

 

  • Waters 还评估了 log4j 漏洞对以下经常与 NuGenesis 结合使用的产品的可能影响;我们的初步调查表明没有影响,并且我们将继续评估:
  • Paradigm - Log4j 库不存在于 Paradigm 的缺省安装中。

附加信息

 

id224434, ELN, NGLMS, NGLMSLIC, NGLMSOPT, SDMS, SDMS8, SDMS8NU, SUPISDMS, SUPNG