跳转到主内容
Waters员工入口

Knowledge Base Home

Waters China

EDS365 软件是否受到 Log4j 漏洞的影响?- WKB224722

  1. 最后更新
  2. 另存为PDF
文章编号: 224722点击此处访问英文版本文章

环境

  • EDS365 Service Release 6,Hotfix 1 特别版本
  • EDS365 Service Release 5
  • Log4Shell
  • Log4j
  • CVE-2021-44228

答案

Apache Log4j 漏洞更新 2022 年 2 月 3 日

Waters 注意到安全研究人员于 2021 年 12 月 9 日宣布的“零日”漏洞 (CVE-2021-44228),它会对一个通用软件包 (Apache log4j) 产生影响。由于 log4j 广泛用于 Web 应用程序和云服务提供商,因此这一漏洞的整个范围很复杂,其影响仍在确定之中。Waters 产品和工程团队将继续调查此事。Waters 将根据需要为客户提供有关 log4j 漏洞的更新,并在评估完成时通知客户。

作为初步调查的一部分,我们分析了以下 Waters 软件是否存在 log4j*.jar 文件:

  • EDS365 Service Release 6,Hotfix 1 特别版本
  • EDS365 Service Release 5

 

  • Waters EDS365 Service Release 6:
    在此服务版本中集成的以下组件中发现了 Log4j 库实例:

Oracle Business Intelligence v12.2.1.2 - Oracle 文档 2828642.1 指出,漏洞补丁仅与该组件的更高版本相关。此版本的 log4j 在 Apache 最近发布的安全警报中被列为不易受攻击 (https://logging.apache.org/log4j/2.x/security.html)。

Oracle Data Integrator v11.1.1.6 - Oracle 文档 2827929.1 将此版本 (11g) 列为不受漏洞影响。

Oracle SQL Developer v19.2.1 - Oracle 文档 2828123.1 指出,此版本包含受影响的 log4j 库,但它不与 SQL Developer 一起使用。该组件不会用于 EDS365 软件的操作,也不是必需组件。可以安全隔离或删除以下目录,而不会影响 EDS365 的正常运行。

<驱动器>:\app\oracle\product\19.3.0\dbhome_1\sqldeveloper

<驱动器>:\EDS365_SR6\EDS365_SR6\Software\WINDOWS.X64_193000_db_home\sqldeveloper

Oracle Spatial 和 Trace File Analyzer - Oracle 文档 2830143.1 列出了解决捆绑 Oracle 数据库产品的组件的漏洞的可用补丁。但是,这些组件不会用于 EDS365 软件运行,也不是必需组件。可以安全隔离或删除以下目录,而不会影响 EDS365 的正常运行。

<驱动器>:\app\oracle\product\19.3.0\dbhome_1\md

<驱动器>:\EDS365_SR6\EDS365_SR6\Software\WINDOWS.X64_193000_db_home\md

<驱动器>:\app\oracle\product\19.3.0\dbhome_1\suptools\tfa

<驱动器>:\EDS365_SR6\EDS365_SR6\Software\WINDOWS.X64_193000_db_home\suptools\tfa
 

  • Waters EDS365 Service Releases 5:
    在此服务版本中集成的以下组件中发现了 Log4j 库实例:

Oracle Business Intelligence v12.2.1.2 - Oracle 文档 2828642.1 指出,漏洞补丁仅与该组件的更高版本相关。此版本的 log4j 在 Apache 最近发布的安全警报中被列为不易受攻击 (https://logging.apache.org/log4j/2.x/security.html)。

Oracle Data Integrator v11.1.1 - Oracle 文档 2827929.1 将此版本 (11g) 列为不受漏洞影响。

Oracle SQL Developer v3.2.10 - 此组件包含 log4j v1.2.13,它不是 Apache 安全警报中列出的组件之一。Log4J-core-1.2.13.jar 不包含与报告的漏洞相关的 JMSAppender.class 文件。该组件不会用于 EDS365 软件运行,也不是必需组件。可以安全隔离或删除以下目录,而不会影响 EDS365 的正常运行。

<驱动器>:\SQLDeveloper

Oracle Spatial - Oracle 文档 2830143.1 列出了解决捆绑 Oracle 数据库产品的组件的漏洞的可用补丁。但是,该组件不会用于 EDS365 软件运行,也不是必需组件。可以安全隔离或删除以下目录,而不会影响 EDS365 的正常运行。

<驱动器>:\app\oracle\product\12.2.0\dbhome_1\md

附加信息

 

id224722, WLA