log4j 中的 Apache“Log4Shell”漏洞是否会影响 waters_connect/UNIFI 版本？- WKB224535

Apache Log4j 漏洞更新 2022 年 10 月 17 日

Waters 注意到安全研究人员于 2021 年 12 月 9 日宣布的“零日”漏洞 (CVE-2021-44228)，它会对一个通用软件包 (Apache Log4J) 产生影响。

 

waters_connect/UNIFI 软件

Waters 对 waters_connect/UNIFI 应用程序二进制文件和所有工作站以及网络部署中包含的第三方软件代码进行了评估。Waters 目前的调查结果记录如下。请继续查看此页面以获取更多最新信息（最后更新于 2022 年 2 月 2 日）。

对于所有版本的 Waters UNIFI 和 waters_connect/UNIFI，应用程序代码库并非基于 Java 构建，也不使用 Apache Log4j 库。

UNIFI 和 waters_connect/UNIFI 工作站以及网络包括包含 Apache Log4j 库的 Oracle 数据库安装（更多详细信息请参阅下文），但 Waters 支持的 UNIFI 和 waters_connect/UNIFI 的所有实现不依赖或使用 Log4j 库来实现正常的应用程序功能。

Waters 测试了所有受支持版本的 UNIFI 和 waters_connect/UNIFI，并确定可以安全隔离或移除包含由 Oracle 安装使用 Waters 提供的媒介部署的受影响 Log4j 库的目录。建议使用 zip 或等效实用程序通过归档受影响的目录进行隔离，而不是移除，因为此操作是可逆的，出错的几率较低。

 

• UNIFI 1.9.4 (Oracle 12c)
• UNIFI 1.9.4 的缺省安装包括包含 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache Log4j 库版本。Log4j 库位于：

\Waters\Oracle\Oracle12c\ccr\lib
1.x 版 Log4j 库不受 Log4j 漏洞的影响。（Oracle 文档 ID 2830143.1）

\Waters\Oracle\Oracle12c\sysman\jlib\ocm
1.x 版 Log4j 库不受 Log4j 漏洞的影响。（Oracle 文档 ID 2830143.1）

\Waters\Oracle\Oracle12c\sqldeveloper\sqldeveloper\lib
虽然存在受影响的 Log4j 库，但 SQL Developer 不使用它。（Oracle 文档 ID 2828123.1）Waters 产品操作不使用也不强制安装 SQL Developer。可以安全地隔离或移除父目录 \Waters\Oracle\Oracle12c\sqldeveloper，而不会影响 waters_connect/UNIFI 正常运行。

\Waters\Oracle\Oracle12c\oui\jlib\jlib
Oracle Universal Installer 不受 Log4j 漏洞的影响。（Oracle 文档 ID 2830143.1）

\Waters\Oracle\asm12c\oui\jlib\jlib（仅限网络部署）
Oracle Universal Installer 不受 Log4j 漏洞的影响。（Oracle 文档 ID 2830143.1）

• 客户端和基于 UNIFI 1.9.4 的 LND 版本的缺省安装不包含 Apache Log4j 库，并且不受 Log4j 漏洞的影响。

 

• waters_connect/UNIFI 1.9.9 (Oracle 12c)
• UNIFI 1.9.9 的缺省安装包括包含 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache Log4j 库版本。Log4j 库位于：

\Waters\Oracle\Oracle12c\ccr\lib
1.x 版 Log4j 库不受 Log4j 漏洞的影响。（Oracle 文档 ID 2830143.1）

\Waters\Oracle\Oracle12c\sysman\jlib\ocm
1.x 版 Log4j 库不受 Log4j 漏洞的影响。（Oracle 文档 ID 2830143.1）

\Waters\Oracle\Oracle12c\sqldeveloper\sqldeveloper\lib
虽然存在受影响的 Log4j 库，但 SQL Developer 不使用它。（Oracle 文档 ID 2828123.1）Waters 产品操作不使用也不强制安装 SQL Developer。可以安全地隔离或移除父目录 \Waters\Oracle\Oracle12c\sqldeveloper，而不会影响 waters_connect/UNIFI 正常运行。

\Waters\Oracle\Oracle12c\oui\jlib\jlib
Oracle Universal Installer 不受 Log4j 漏洞的影响。（Oracle 文档 ID 2830143.1）

\Waters\Oracle\asm12c\oui\jlib\jlib（仅限网络部署）
Oracle Universal Installer 不受 Log4j 漏洞的影响。（Oracle 文档 ID 2830143.1）

• 客户端和基于 waters_connect/UNIFI 1.9.9 的 LND 版本的缺省安装不包含 Apache Log4j 库，并且不受 Log4j 漏洞的影响。

 

• waters_connect/UNIFI 1.9.12 (Oracle 19c)
• UNIFI 1.9.12 的缺省安装包括包含 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache Log4j 库版本。Log4j 库位于：

\Waters\Oracle\DbHome\md\property_graph\lib
这是与 Oracle 数据库软件捆绑在一起的 Oracle Spatial 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Waters CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Waters\Oracle\DbHome\md\property_graph，而不会影响 waters_connect/UNIFI 正常运行。

\Waters\Oracle\DbHome\sqldeveloper\sqldeveloper\lib（出于支持的可选安装）
虽然存在受影响的 Log4j 库，但 SQL Developer 不使用它。（Oracle 文档 ID 2828123.1）Waters 产品操作不使用也不强制安装 SQL Developer。可以安全地隔离或移除父目录 \Waters\Oracle\DbHome\sqldeveloper，而不会影响 waters_connect/UNIFI 正常运行。

\Waters\Oracle\DbHome\suptools\tfa\release\tfa_home\jlib
这是与 Oracle 数据库软件捆绑在一起的 Oracle Trace File Analyzer 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Waters CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Waters\Oracle\DbHome\suptools\tfa\release\tfa_hoime\jlib，而不会影响 waters_connect/UNIFI 正常运行

\Waters\Oracle\AsmHome\suptools\tfa\release\tfa_home\jlib（仅限网络部署）
这是与 Oracle 数据库软件捆绑在一起的 Oracle Trace File Analyzer 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Waters CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Waters\Oracle\AsmHome\suptools\tfa，而不会影响 waters_connect/UNIFI 正常运行

• 客户端和基于 waters_connect/UNIFI 1.9.12 的 LND 版本的缺省安装不包含 Apache Log4j 库，并且不受 Log4j 漏洞的影响。

 

• waters_connect/UNIFI 1.9.13 (Oracle 19c)
• UNIFI 1.9.13 的缺省安装包括包含 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache Log4j 库版本。Log4j 库位于：

\Waters\Oracle\DbHome\md\property_graph\lib
这是与 Oracle 数据库软件捆绑在一起的 Oracle Spatial 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Waters CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Waters\Oracle\DbHome\md\property_graph，而不会影响 waters_connect/UNIFI 正常运行。

\Waters\Oracle\DbHome\sqldeveloper\sqldeveloper\lib（出于支持的可选安装）
虽然存在受影响的 Log4j 库，但 SQL Developer 不使用它。（Oracle 文档 ID 2828123.1）Waters 产品操作不使用也不强制安装 SQL Developer。可以安全地隔离或移除父目录 \Waters\Oracle\DbHome\sqldeveloper，而不会影响 waters_connect/UNIFI 正常运行。

\Waters\Oracle\DbHome\suptools\tfa\release\tfa_home\jlib
这是与 Oracle 数据库软件捆绑在一起的 Oracle Trace File Analyzer 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Waters CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Waters\Oracle\DbHome\suptools\tfa\release\tfa_home\jlib，而不会影响 waters_connect/UNIFI 正常运行

\Waters\Oracle\AsmHome\suptools\tfa\release\tfa_home\jlib（仅限网络部署）
这是与 Oracle 数据库软件捆绑在一起的 Oracle Trace File Analyzer 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Waters CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Waters\Oracle\AsmHome\suptools\tfa，而不会影响 waters_connect/UNIFI 正常运行

• 客户端和基于 waters_connect/UNIFI 1.9.13 的 LND 版本的缺省安装不包含 Apache Log4j 库，并且不受 Log4j 漏洞的影响。

• waters_connect/UNIFI 2.1.1 (Oracle 19c)
• UNIFI 2.1.1 的缺省安装包括包含 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache Log4j 库版本。Log4j 库位于：

\Waters\Oracle\DbHome\md\property_graph\lib
这是与 Oracle 数据库软件捆绑在一起的 Oracle Spatial 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Waters CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Waters\Oracle\DbHome\md\\property_graph，而不会影响 waters_connect/UNIFI 正常运行。

\Waters\Oracle\DbHome\sqldeveloper\sqldeveloper\lib（出于支持的可选安装）
虽然存在受影响的 Log4j 库，但 SQL Developer 不使用它。（Oracle 文档 ID 2828123.1）Waters 产品操作不使用也不强制安装 SQL Developer。可以安全地隔离或移除父目录 \Waters\Oracle\DbHome\sqldeveloper，而不会影响 waters_connect/UNIFI 正常运行。

\Waters\Oracle\DbHome\suptools\tfa\release\tfa_home\jlib
这是与 Oracle 数据库软件捆绑在一起的 Oracle Trace File Analyzer 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Waters CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Waters\Oracle\DbHome\suptools\tfa\release\tfa_home\jlib，而不会影响 waters_connect/UNIFI 正常运行

• 客户端和基于 waters_connect/UNIFI 1.9.13 的 LND 版本的缺省安装不包含 Apache Log4j 库，并且不受 Log4j 漏洞的影响。

 

• waters_connect/UNIFI 2.1.2 (Oracle 19c)
• UNIFI 2.1.2 的缺省安装包括包含 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache Log4j 库版本。Log4j 库位于：

\Waters\Oracle\DbHome\md\property_graph\lib
这是与 Oracle 数据库软件捆绑在一起的 Oracle Spatial 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Waters CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Waters\Oracle\DbHome\md\property_graph，而不会影响 waters_connect/UNIFI 正常运行。

\Waters\Oracle\DbHome\sqldeveloper\sqldeveloper\lib（出于支持的可选安装）
虽然存在受影响的 Log4j 库，但 SQL Developer 不使用它。（Oracle 文档 ID 2828123.1）Waters 产品操作不使用也不强制安装 SQL Developer。可以安全地隔离或移除父目录 \Waters\Oracle\DbHome\sqldeveloper，而不会影响 waters_connect/UNIFI 正常运行。

\Waters\Oracle\DbHome\suptools\tfa\release\tfa_home\jlib
这是与 Oracle 数据库软件捆绑在一起的 Oracle Trace File Analyzer 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Waters CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Waters\Oracle\DbHome\suptools\tfa\release\tfa_home\jlib，而不会影响 waters_connect/UNIFI 正常运行

\Waters\Oracle\AsmHome\suptools\tfa\release\tfa_home\jlib（仅限网络部署）
这是与 Oracle 数据库软件捆绑在一起的 Oracle Trace File Analyzer 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Waters CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Waters\Oracle\AsmHome\suptools\tfa，而不会影响 waters_connect/UNIFI 正常运行

• 客户端和基于 waters_connect/UNIFI 1.9.13 的 LND 版本的缺省安装不包含 Apache Log4j 库，并且不受 Log4j 漏洞的影响。

 

• waters_connect/UNIFI 3.0.0 (Oracle 19c)
• UNIFI 2.1.2 的缺省安装包括包含 Apache Log4j 库的 Oracle 数据库安装。这些环境的漏洞扫描可能会识别出易受攻击的 Apache Log4j 库版本。Log4j 库位于：

\Waters\Oracle\DbHome\md\property_graph\pgx\client\pgx-zeppelin-interpreter-3.2.0.zip
这是与 Oracle 数据库软件捆绑在一起的 Oracle Property Graph 产品的一部分。Oracle 文档 ID 2830143.1 中列出了它的补丁。但 Waters CDS 产品不使用此组件。可以安全地隔离或移除父目录 \Waters\Oracle\DbHome\md\\property_graph，而不会影响 waters_connect/UNIFI 正常运行。