log4j 中的 Apache“Log4Shell”漏洞是否会影响 NuGenesis? - WKB224434
文章编号: 224434点击此处访问英文版本文章
环境
- NuGenesis 9
- Oracle 19c/NuGenesis 9.1、9.2、9.3
- Oracle 12c/NuGenesis 9.0
- JasperSoft Studio v5、v6
- NuGenesis 8
- Oracle 11gR2
- Log4Shell(Log4j 版本 2)
- CVE-2021-44228
- CVE-2021-45046
- CVE-2021-45105
- Log4Shell(Log4j 版本 1 和 2)
- CVE-2021-4104
答案
Waters 对 NuGenesis 和 Analytical Workflow Manager (AWM) 应用程序二进制文件和标准 NuGenesis 部署中包含的第三方软件代码进行了评估。这些环境的漏洞扫描可以识别出存在 Apache Log4j 库。1.x 版 Log4j 库实例 – Apache 指示为不受影响 (https://logging.apache.org/log4j/2.x/security.html) – 存在于 NuGenesis 软件的某些组件中。
Waters 测试了所有受支持版本的 NuGenesis 和 Analytical Workflow Manager (AWM),并确定可以安全隔离或移除包含由 Oracle 安装使用 Waters 提供的媒介部署的受影响 Log4j 库的目录。建议使用 zip 或等效实用程序通过归档受影响的目录进行隔离,而不是移除,因为此操作是可逆的,出错的几率较低。Waters 目前的调查结果记录如下。请继续查看此页面以获取更多最新信息。
注:如果在 NuGenesis 系统中以及在下面给定路径之外的文件中检测到 Log4j 漏洞,则 NuGenesis 不会使用该文件。移除文件不会影响 NuGenesis;但可能会影响与这些文件相关的软件包的功能。
- NuGenesis 8 和 9 SDMS 应用程序
- 核心 SDMS 应用程序不使用 Log4j v2 库
- NuGenesis 9.x 和 NuGenesis 8 SDMS 的所有 Data Adapter 版本中包含的 SDMS Instrument Agents 包含一个 Log4j v1.2.8 库,位于:
- 驱动器:\Program Files\Waters\SDMSInstrumentAgents\lib\org
- Instrument Agents 是 Data Adapters 的可选功能,并非所有系统都需要。代理的缺省日志记录配置不使用 JMSAppender 类,因此不受影响。(请参阅 Apache 安全警报:https://logging.apache.org/log4j/2.x/security.html)
- NuGenesis 8 和 9 LMS 应用程序
- NuGenesis LMS 使用位于以下位置的 LMS 服务器上的 Log4j 库:
- NuGenesis 8 LMS 服务器:
- 驱动器:\WatersLMSServer\lib\org
- 驱动器:\WatersLMSServer\Jboss-6.0.0.Final\client
- 驱动器:\WatersLMSServer\Jboss-6.0.0.Final\common\lib
- Jboss 日志管理器的缺省日志记录配置不使用 JMSAppender 类,因此不受影响(请参阅 Apache 安全警报:https://logging.apache.org/log4j/2.x/security.html)
- NuGenesis 9.x LMS 服务器:
- 驱动器:\WatersLMSServer\Wildfly-11.0.0.Final\modules\system\layers\base\org\jboss\log4j\logmanager\main - 存在于所有安装中
- 驱动器:\WatersLMSServer\SAPInterface\actback\lib3rd\wildfly - 仅在安装了 LMS-SAP Interface 时存在
- 驱动器:\WatersLMSServer\Workflow\actback\lib3rd\wildfly - 仅在安装了 NuGenesis Connectors 服务器时才存在
- 使用的 Log4j 版本 (1.1.4) 不受 Log4j V2 漏洞的影响(请参阅 Apache 安全警报:https://logging.apache.org/log4j/2.x/security.html)
- JasperSoftStudio:
- 驱动器:\Program Files\TIBCO\Jaspersoft Studio-6.4.0\plugins
- 这些 1.x 版 Log4j 库不受影响。(https://community.jaspersoft.com/wik...rsoft-products)
- NuGenesis 8 LMS 服务器:
- NuGenesis LMS 使用位于以下位置的 LMS 服务器上的 Log4j 库:
- NuGenesis 9.1, 9.2 Oracle Database (Oracle 19c)
- Windows 上安装的 NuGenesis 9.1 和 9.2 Oracle 数据库中,Log4j 库位于以下位置
- 驱动器:\oracle\product\19.6.0\Oracle19c\suptools\tfa
- 这是与 Oracle 数据库软件捆绑在一起的 Oracle Trace File Analyzer 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。然而,NuGenesis 产品并未使用此组件,因此可以删除该目录,而不会影响 NuGenesis 的正常运行。
- 驱动器:\oracle\product\19.6.0\Oracle19c\md
- 这是与 Oracle 数据库软件捆绑在一起的 Oracle Spatial 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。然而,NuGenesis 产品并未使用此组件,因此可以删除该目录,而不会影响 NuGenesis 的正常运行。
- 驱动器:\oracle\product\19.6.0\Oracle19c\suptools\tfa
- Windows 上安装的 NuGenesis 9.1 和 9.2 Oracle 数据库中,Log4j 库位于以下位置
- NuGenesis 9.0 Oracle Database (Oracle 12c)
- Windows 上安装的 NuGenesis 9.1 和 9.2 Oracle 数据库中,Log4j 库位于以下位置:
- <驱动器:>\oracle\product\12.2.0\Oracle12cR2\ccr\lib
- 这些 1.x 版 Log4j 库不受影响。(Oracle 文档 ID 2830143.1)
- <驱动器:>\oracle\product\12.2.0\Oracle12cR2\sqldeveloper\sqldeveloper\lib
- 虽然存在受影响的 Log4j 库,但 SQL Developer 不使用它。(Oracle 文档 ID 2828123.1)NuGenesis 产品运行中不使用也不强制安装 SQL Developer。因此,可以删除父目录,而不会影响 NuGenesis 的正常运行。
- <驱动器:>\oracle\product\12.2.0\Oracle12cR2\oui\jlib\jlib
- Oracle Universal Installer 不受 Log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)
- <驱动器:>\oracle\product\12.2.0\Oracle12cR2\sysman\jlib\ocm
- 这些 1.x 版 Log4j 库不受影响。(Oracle 文档 ID 2830143.1)
- <驱动器:>\oracle\product\12.2.0\Oracle12cR2\ccr\lib
- Windows 上安装的 NuGenesis 9.1 和 9.2 Oracle 数据库中,Log4j 库位于以下位置:
- NuGenesis 8.x Oracle Database (Oracle 11g)
- NuGenesis 8.x 的缺省安装包括包含 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache Log4j 库版本。受影响的 Log4j 库位于:
- <驱动器:>\oracle\product\11.2.0\SDMS\inventory\scripts\ext\jlib
- 1.x 版 Log4j 库不受影响。(Oracle 文档 ID 2830143.1)
- <驱动器:>\oracle\product\11.2.0\SDMS\ccr\lib
- 1.x 版 Log4j 库不受影响。(Oracle 文档 ID 2830143.1)
- <驱动器:>\oracle\product\11.2.0\SDMS\oui\jlib\jlib
- Oracle Universal Installer 不受 Log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)
- <驱动器:>\oracle\product\11.2.0\SDMS\sysman\jlib
- 1.x 版 Log4j 库不受影响。(Oracle 文档 ID 2830143.1)
- <驱动器:>\oracle\product\11.2.0\SDMS\sysman\jlib\ocm
- 1.x 版 Log4j 库不受影响。(Oracle 文档 ID 2830143.1)
- <驱动器:>\oracle\product\11.2.0\SDMS\inventory\scripts\ext\jlib
- NuGenesis 8.x 的缺省安装包括包含 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache Log4j 库版本。受影响的 Log4j 库位于:
- Analytical Workflow Manager (AWM) 2.0
- AWM 2.0 的缺省安装包括包含 1.x 版 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可以检测到存在 Apache Log4j 库。Log4j 库位于:
- <驱动器>:\app\oracle\product\12.1.0\dbhome_1\ccr
- 1.x 版 Log4j 库不受 Log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)
- <驱动器>:\app\oracle\product\12.1.0\dbhome_1\sysman
- 1.x 版 Log4j 库不受 Log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)
- <驱动器>:\app\oracle\product\12.1.0\dbhome_1\sqldeveloper
- 1.x 版 Log4j 库不受 Log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)
- <驱动器>:\app\oracle\product\12.1.0\dbhome_1\oui
- Oracle Universal Installer 不受 Log4j 漏洞的影响。(Oracle 文档 ID 2830143.1)
- <驱动器>:\app\oracle\product\12.1.0\dbhome_1\ccr
- AWM 2.0 的缺省安装包括包含 1.x 版 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可以检测到存在 Apache Log4j 库。Log4j 库位于:
- Paradigm Scientific Search
- Log4j 库不存在于 Paradigm 的缺省安装中
附加信息
id224434, ELN, NGLMS, NGLMSLIC, NGLMSOPT, SDMS, SDMS8, SDMS8NU, SUPISDMS, SUPNG