EDS365 软件是否受到 Log4j 漏洞的影响?- WKB224722
环境
- EDS365 Service Release 6,Hotfix 1 特别版本
- EDS365 Service Release 5
- Log4Shell
- Log4j
- CVE-2021-44228
答案
Apache Log4j 漏洞更新 2022 年 2 月 3 日
Waters 注意到安全研究人员于 2021 年 12 月 9 日宣布的“零日”漏洞 (CVE-2021-44228),它会对一个通用软件包 (Apache log4j) 产生影响。由于 log4j 广泛用于 Web 应用程序和云服务提供商,因此这一漏洞的整个范围很复杂,其影响仍在确定之中。Waters 产品和工程团队将继续调查此事。Waters 将根据需要为客户提供有关 log4j 漏洞的更新,并在评估完成时通知客户。
作为初步调查的一部分,我们分析了以下 Waters 软件是否存在 log4j*.jar 文件:
- EDS365 Service Release 6,Hotfix 1 特别版本
- EDS365 Service Release 5
- Waters EDS365 Service Release 6:
在此服务版本中集成的以下组件中发现了 Log4j 库实例:
Oracle Business Intelligence v12.2.1.2 - Oracle 文档 2828642.1 指出,漏洞补丁仅与该组件的更高版本相关。此版本的 log4j 在 Apache 最近发布的安全警报中被列为不易受攻击 (https://logging.apache.org/log4j/2.x/security.html)。
Oracle Data Integrator v11.1.1.6 - Oracle 文档 2827929.1 将此版本 (11g) 列为不受漏洞影响。
Oracle SQL Developer v19.2.1 - Oracle 文档 2828123.1 指出,此版本包含受影响的 log4j 库,但它不与 SQL Developer 一起使用。该组件不会用于 EDS365 软件的操作,也不是必需组件。可以安全隔离或删除以下目录,而不会影响 EDS365 的正常运行。
<驱动器>:\app\oracle\product\19.3.0\dbhome_1\sqldeveloper
<驱动器>:\EDS365_SR6\EDS365_SR6\Software\WINDOWS.X64_193000_db_home\sqldeveloper
Oracle Spatial 和 Trace File Analyzer - Oracle 文档 2830143.1 列出了解决捆绑 Oracle 数据库产品的组件的漏洞的可用补丁。但是,这些组件不会用于 EDS365 软件运行,也不是必需组件。可以安全隔离或删除以下目录,而不会影响 EDS365 的正常运行。
<驱动器>:\app\oracle\product\19.3.0\dbhome_1\md
<驱动器>:\EDS365_SR6\EDS365_SR6\Software\WINDOWS.X64_193000_db_home\md
<驱动器>:\app\oracle\product\19.3.0\dbhome_1\suptools\tfa
<驱动器>:\EDS365_SR6\EDS365_SR6\Software\WINDOWS.X64_193000_db_home\suptools\tfa
- Waters EDS365 Service Releases 5:
在此服务版本中集成的以下组件中发现了 Log4j 库实例:
Oracle Business Intelligence v12.2.1.2 - Oracle 文档 2828642.1 指出,漏洞补丁仅与该组件的更高版本相关。此版本的 log4j 在 Apache 最近发布的安全警报中被列为不易受攻击 (https://logging.apache.org/log4j/2.x/security.html)。
Oracle Data Integrator v11.1.1 - Oracle 文档 2827929.1 将此版本 (11g) 列为不受漏洞影响。
Oracle SQL Developer v3.2.10 - 此组件包含 log4j v1.2.13,它不是 Apache 安全警报中列出的组件之一。Log4J-core-1.2.13.jar 不包含与报告的漏洞相关的 JMSAppender.class 文件。该组件不会用于 EDS365 软件运行,也不是必需组件。可以安全隔离或删除以下目录,而不会影响 EDS365 的正常运行。
<驱动器>:\SQLDeveloper
Oracle Spatial - Oracle 文档 2830143.1 列出了解决捆绑 Oracle 数据库产品的组件的漏洞的可用补丁。但是,该组件不会用于 EDS365 软件运行,也不是必需组件。可以安全隔离或删除以下目录,而不会影响 EDS365 的正常运行。
<驱动器>:\app\oracle\product\12.2.0\dbhome_1\md
附加信息
id224722, WLA