Oracle Produkte und die log4j-Sicherheitslücke (CVE-2021-44228 „Log4Shell“, CVE-2021-45046 und CVE-2021-45105)

Letzte Änderung dieses Blog Posts: 13.1.2022 8:45

Die Sicherheitslücken CVE-2021-44228 „Log4Shell“, CVE-2021-45046, CVE-2021-45105 sowie CVE-2021-44832 betreffen die Java-Komponente log4j der Apache Foundation.

Der Patch für die erste Sicherheitslücke CVE-2021-44228 in Form der log4j-Version 2.15 war nicht vollständig, so dass am 14.12.2021 CVE-2021-45046 für diese Version veröffentlicht wurde. Alle Patches, die log4j 2.15 enthalten, sind somit hinfällig. Dies gilt nun auch für die Patches, die log4j 2.16 enthalten, da am 19.12.2021 mit CVE-2021-45105 eine weitere Lücke hinzugekommen ist, die DOS-Angriffe auf ungepatchte Installationen ermöglicht. Diese Lücke ist mit log4j 2.17 beseitigt. Die aktuellste Version für log4j ist 2.17.1 und enthält zusätzlich Fixes bzgl. CVE-2021-44832.

Die Log4Shell Sicherheitslücke betrifft sehr viele Oracle Produkte. Das ursprüngliche zentrale Dokment bei Oracle (Impact of December 2021 Apache Log4j Vulnerabilities on Oracle Products and Services (CVE-2021-44228, CVE-2021-45046) (Doc ID 2827611.1)) verweist nun auf zwei Unterdokumente, je eines für die Oracle Cloud (Impact of December 2021 Apache Log4j Vulnerabilities on Oracle cloud environments (CVE-2021-44228, CVE-2021-45046) (Doc ID 2830129.1)) und für On-Premises-Produkte (Impact of December 2021 Apache Log4j Vulnerabilities on Oracle on-premises products (CVE-2021-44228, CVE-2021-45046) (Doc ID 2830143.1)). Hier gibt es einen Überblick über alle vorhandenen und geplanten Patches, sowie über Produkte, die keinen Patch benötigen. In diesem Blog Post fassen wir zusammen, was wir über die wichtigsten (On-Premises-) Produkte wissen und welche Vorgehensweise wir empfehlen. Sobald wir relevante neue Informationen bekommen werden wir diese hier einfließen lassen.

Bitte kontaktieren Sie uns, wenn Sie Fragen haben oder wenn wir bei der Installation von Patches tätig werden sollen.

Die folgenden Informationen betreffen die Oracle Produkte, die bei uns und unseren Kunden hauptsächlich eingesetzt werden. Bei Fragen zu weiteren Produkten wenden Sie sich ebenfalls gerne an uns.

Oracle Database Appliance (ODA)

Die ODA gehört zu den Engineered Systems und wird als Appliance automatisiert mit diversen Oracle Produkten ausgestattet. Bei den ODAs besteht Handlungsbedarf:

Das Autonomous Health Framework (AHF/TFA) wird grundsätzlich auf ODAs installiert. Da AHF betroffen ist (s.u.) empfehlen wir dringend, den entsprechenden Patch zu installieren.
Optional ist bei den ODAs die Komponente Auto Service Request (ASR) installiert. Diese ist ebenfalls betroffen.
Abhängig von den Empfehlungen des Herstellers werden wir zeitnah informieren, ob weitere Aktionen zu empfehlen sind.

Oracle Database

Die Oracle Database Software selbst ist nicht von der Sicherheitslücke betroffen. Je nach Installation sind aber Komponenten integriert, die betroffen sind. Dies betrifft das Autonomous Health Framework (AHF) bzw. den Trace File Analyzer (TFA), Spatial and Graph sowie den SQL Developer.

Spatial and Graph

Die frühere Enterprise Edition Option ist mittlerweile in allen Installationen der Database Software enthalten, auch in der Standard Edition 2. Das Unterprodukt der Database ist von der Sicherheitslücke betroffen. Informationen von Oracle finden sich in der MOS Note Database Vulnerabilities CVE-2021-44228, CVE-2021-45046, CVE-2021-45104, and CVE-2021-45105 with Oracle Spatial and Graph (Doc ID 2828303.1). Betroffen sind lediglich die Versionen 12.2, 18c und 21c. 19c ist nicht betroffen, wenn RU 19.13 installiert ist. Die Versionen 11.2 und 12.1 sind ebenfalls nicht betroffen.

Es steht nun ein Patch für die Versionen 12.2, 18c und 21c zur Verfügung. Die Installationsvoraussetzung für den Patch ist das Release Update aus Oktober 2021 für 12.2 und 21c bzw. RU 18.14 aus April 2021. Falls diese Voraussetzung nicht erfüllt werden kann, ist im MOS Dokument auch eine manuelle Vorgehensweise zur Entfernung der kritischen Dateien angegeben. Diese sind auch zu beachten, wenn eine 19c-Installation noch nicht auf RU 19.13 gepatched werden kann.

SQL Developer (im Oracle-Home)

Insbesondere unter Windows wird in vielen Versionen bei einer Database-Installation auch der SQL Developer installiert. Dies gilt sowohl für Database- als auch für Client-Installationen. Wir empfehlen dringend, diese SQL Developer nicht mehr zu benutzen. Bei Bedarf ist der gepatchte SQL Developer (s.u.) neben dem Database- bzw. Client-Home zu installieren.

Die betroffene Library ($ORACLE_HOME/sqldeveloper/sqldeveloper/lib/lib4j-core.jar) wird vom SQL Developer offenbar nicht benutzt. Erste Tests bei uns haben ergeben, dass diese Datei gelöscht werden kann, ohne die Funktionalität des SQL Developers zu beeinflussen.

Hinweis: Bei aktuellen Installationen enthält das Unterverzeichnis sqldeveloper des Oracle-Homes lediglich das Kommandozeilenwerkzeug SQLcl. In diesen Installation ist log4j nicht enthalten.

SQL Developer

SQL Developer enthält, zumindest in neueren Versionen, die betroffene Bibliothek. Seit dem 15.12.2021 ist die Version 21.4.1 verfügbar, die den benötigten Patch enthält. (Version 21.4 vom 13.12.2021 ist damit obsolet und muss durch die neuere Version ersetzt werden.)

Diese Version sollte heruntergeladen und installiert werden. Beim ersten Start kann man die Konfiguration einer älteren Version übernehmen. Danach sollten alle älteren Versionen gelöscht werden.

Oracle Autonomous Health Framework

Das AHF enthält u.a. den Trace File Analyzer (TFA). Am 12.1.2022 wurde als Patch die Version 21.4.1 veröffentlicht, die die Versionen 21.3.3, 21.3.4 und 21.4 mit älteren log4j-Patches ersetzt. Es ist nun log4j Version 2.17.1 enthalten. Weitere Informationen hierzu finden sich in der MOS Note AHF CVE-2021-44228/CVE-2021-45046/CVE-2021-45105/CVE-2021-44832 (Doc ID 2828415.1).

Der Patch kann sowohl für Engineered Systems als auch für eigene Installationen verwendet werden.

Die ZIP-Datei muss entpackt werden; danach Installation wie im README.txt beschrieben. Die Installation betrifft lediglich die AHF-Komponenten und erfordert keine Downtime für GI, Listener oder Datenbanken.

In einigen Oracle Homes befinden sich Ressourcen für eine AHF-Installation im Unterverzeichnis suptools. Nach der Installation des AHF Patches können Vorkommen von lib4j*.jar innerhalb dieses Unterverzeichnisses entfernt werden.

Oracle Auto Service Request

Für ASR wurde sowohl eine MOS Note (Apache Log4j Security Alert CVE-2021-44228 on Oracle Auto Service Request (Doc ID 2828600.1)) als auch ein Patch veröffentlicht.

Für ODAs ist dies nur dann relevant, wenn beim Deployment ASR ausgewählt wurde. Andernfalls ist das Paket nicht auf dem System.

Oracle Enterprise Manager

Der Enterprise Manager ist betroffen. In MOS Note Security Alert For CVE-2021-44228 & CVE-2021-45046 Patch Availability Document for Oracle Enterprise Manager Cloud Control (Doc ID 2828296.1) wird beschrieben, wie die Sicherheitslücke eliminiert werden kann.

Oracle WebLogic und Fusion Middleware

WebLogic und Fusion Middleware sind ebenfalls betroffen. Weitere Information findet sich in der MOS Note Security Alert CVE-2021-44228 / CVE-2021-45046 Patch Availability Document for Oracle WebLogic Server & Fusion Middleware (Doc ID 2827793.1).

Nicht betroffene Oracle-Produkte

Application Express, ORDS und SQLcl sind laut aktuellem Wissensstand nicht betroffen.

Non-Oracle-Produkte

Dbvisit Standby

Laut Aussage der Dbvisit Entwickler werden keine Java-Komponenten genutzt; somit ist Dbvisit Standby nicht von der Lücke betroffen.

SQL Server

Beim SQL Server ist uns nicht bekannt, dass es betroffene Komponenten gibt.

Commvault

Offenbar sind Komponenten von Commvault betroffen, u.a. der Oracle Agent. Bitte wenden Sie sich für weitere Informationen an Ihren Commvault-Partner.

Sonstige Produkte

Wir empfehlen Ihnen, sich mit den Herstellern Ihrer sonstigen Softwareprodukte und Applikationen in Verbindung zu setzen, um dort den aktuellen Status zu ermitteln. Inbesondere Applikationsserver, Webserver und Applikationen auf Java-Basis sollten dringend untersucht werden.

Cookie	Dauer	Beschreibung
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_octo	1 year	No description available.
logged_in	1 year	No description available.
ppwp_wp_session	30 minutes	No description

Cookie	Dauer	Beschreibung
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gh_sess	session	GitHub sets this cookie for temporary application and framework state between pages like what step the user is on in a multiple step form.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.