Impact CVE-2021-44228: Apache log4j

Recent heeft het bericht van CVE-2021-44228 de wereld bereikt als een kwetsbaarheid met de hoogst mogelijk score. Wat is de impact van CVE-2021-44228 Apache log op Oracle technologie? Nadat dit bericht bekend is gemaakt zijn leveranciers begonnen te kijken wat het voor hun producten betekent. Oracle deelt zijn analyse in My Oracle Support Document: Apache Impact of December 2021 Apache Log4j Vulnerabilities on Oracle Products and Services (CVE-2021-44228, CVE-2021-45046).  

Uit de update van 20 december blijkt dat volgens Oracle onderstaande componenten niet geraakt zijn: 

  • Oracle HTTP Server  
  • De database (zie note: 2828877.1
  • Oracle Client 
  • Oracle Universal Installer 
  • Oracle VM 
  • Oracle VM VirtualBox 
  • Oracle Forms 

Oracle HTTP Server en Oracle Forms worden genoemd in het lijstje waarbij onderliggende infra geraakt is. 

Op dit moment zijn er nog een beperkt aantal producten nog in onderzoek, daar zal spoedig duidelijkheid overkomen. Er is ook een uitgebreide lijst met producten waar Oracle met een patch gaat komen. 

Belangrijke product waar al een oplossing voor beschikbaar is: 

  • Oracle SQLDeveloper 
    Het probleem is in Oracle SQLDeveloper opgelost in de nieuwste release:21.4. Deze release kan op de database server en op alle clients neergezet worden. 
  • Oracle Spatial and Graph 
    Hier verwijst Oracle naar note 2828303.1. Er komt alleen een fix voor de Oktober 2021 CPU. Belangrijk is dat alleen 12.2, 18 en 21 geraakt zijn. 12.1 en 19 zijn niet geraakt.
  • Oracle Enterprise Manager 
    Oracle heeft hiervoor note 2828296.1. Daarin staat omschreven hoe OMS, agent en plugin home aangepast moeten worden. Dit komt overeen met onderstaande workaround. 
  • Oracle Reports Developer 
    Hier wordt verwezen naar note 2827793.1.  
  • Engineered Systems Utilities (Trace File Analyzer) 
    Hier heeft Oracle patch 30166242 beschikbaar gemaakt. 
  • OracleWebLogic en Fusion Middleware (hier maakt o.a. Oracle Forms gebruik van) 
    In Note:2827793.1 staat in algemene zin wat er voor de Fusion Middleware gedaan moet worden. Hierbij geldt dat er een fix is die als eis dat de Oktober 2021 CPU is geïnstalleerd. 

Voor een exacte omschrijving zie het document waarnaar verwezen wordt in het eerder genoemde My Oracle Support artikel. 

Eenieder die zich wil controleren of log4j op hun systeem aanwezig is, kan een van de scripts gebruiken dat op github aanwezig zijn: deze (Python) of deze (PS).  Hiermee kan je je systeem scannen. 

Een incident is een bevestiging dat het regelmatig aanbrengen van security patches een belangrijk onderdeel van de beheercyclus blijft. 

Wat is de impact van CVE-2021-44228 Apache log op Oracle technologie

We hopen dat we je met dit artikel, Impact CVE-2021-4428: Apache log, op weg bent geholpen. Mocht je hulp nodig hebben of je hebt vragen n.a.v. dit artikel, laat het ons dan weten.

Gerelaateerd aan dit artikel: lees ook Oracle 19 New Features

Scroll to Top