Monitoring Module ist nicht von kritischer log4j-Sicherheitslücke (CVE-2021-44228 „Log4Shell“) betroffen

Das Monitoring Module (HLMM) verwendet als Basis Spring Boot, welches im Standard wiederum kein log4j2 verwendet. In den ausgelieferten Libraries (exemplarisch für die Web-Application des aktuellen Releases) findet man auf dem Monitoring-Server einige JAR-Dateien, die auf log4j in einer der betroffenen Versionen hindeuten:

# locate log4j | grep jar$ | grep webapp
/var/lib/hlmon/webapp/lib/2.48.0_3106/WEB-INF/lib/log4j-api-2.14.1.jar
/var/lib/hlmon/webapp/lib/2.48.0_3106/WEB-INF/lib/log4j-over-slf4j-1.7.32.jar
/var/lib/hlmon/webapp/lib/2.48.0_3106/WEB-INF/lib/log4j-to-slf4j-2.14.1.jar

Hier fehlt allerdings explizit die Datei beginnend „log4j-core“, welche von den aktuellen Sicherheitsproblemen betroffen ist. Spring Boot und damit auch HLMM enthält zwar die Log4J-API, nutzt im Standard intern allerdings SLF4J/Logback.

Weiterführende Informationen dazu finden Sie auch unter dem folgenden Link:
https://github.com/spring-projects/spring-boot/issues/28958

Spring Boot does not use log4j2 by default and those of you who are opting-in for log4j2 can update to a version that fixes the problem.

Quelle

Im Kern heißt dies also: HLMM ist von dem Problem nicht betroffen und es sind keine außerplanmäßigen Patches erforderlich.

Update 15.12.2021: HLMM ist auch nicht von der Sicherheitslücke CVE-2021-45046 betroffen.

Update 18.12.2021: HLMM ist auch nicht von der Sicherheitslücke CVE-2021-45105 betroffen.

Weitere Informationen zu der Sicherheitslücke:

Oracle Java wieder mit kostenfreiem JDK

Seit Oracle die das Java Java Development Kit vor einigen Jahren in eine kostenpflichtige Subscription verwandelt hat, gab es diverse kontroverse Diskussionen darüber. Im Gegensatz zum wahrscheinlich von Oracle erwarteten Effekt, dass jetzt alle Java-Nutzer Subscriptions abschließen (und bezahlen) würden, war offenbar eher das Gegenteil der Fall: viele User wendeten sich von Oracle Java ab und kostenlosen OpenSource-Alternativen zu. Doch nun gibt es neue Nachrichten:

Weiterlesen

SQL Macros: neu in Oracle 21c… und in Oracle 19c!

Oracle 21c ist in diversen Cloud-Umgebungen bereits verfügbar. Die on-premises-Version wird für das erste Halbjahr 2021 erwartet – also schon recht bald. Neu und sehr interessant sind SQL Macros.

SQL und PL/SQL sind zwei sehr unterschiedliche Sprachen mit unterschiedlichen Konzepten. Oracle hat grundsätzlich Möglichkeiten eingebaut, die beiden Sprachen zu verbinden. SQLs können in PL/SQL-Code ausgeführt werden und PL/SQL-Funktionen können in SQLs verwendet werden: in der SELECT-Liste in in WHERE-Bedingungen.

Weiterlesen

DPLOAD-Patch für 19.10 – aber (noch?) nicht für Windows

Oracle hat vor einigen Tagen einen Merger-Patch für das RU 19.10 herausgebracht. Dieser soll bekannte Performance-Probleme bei der Verwendung von dpload.sql (im Zusammenhang mit datapatch) beheben. Ob dies tatsächlich der Fall ist, kann man leider unter Windows nicht herausfinden – denn obwohl der Patch Nr. 32551008 als „generic“, also für alle Plattformen, deklariert ist, funktioniert die Installation nicht unter Windows.

Weiterlesen

Neues vom SYSAUX-Tablespace…

Der SYSAUX-Tablespace wurde von Oracle in der Version 10g eingeführt. Hier werden diverse sog. „Auxiliary“ Objekte gespeichert, die Oracle-eigenen Schemata zuzuordnen sind. Die Menge der enthaltenen Objekte sowie der Platzbedarf hängen u.a. von der Anzahl der in der Datenbank installierten Komponenten ab. In der Regel sind diese unkritisch – es kann aber vorkommen, dass der Platzbedarf im SYSAUX-Tablespaces plötzlich stark ansteigt, ohne dass etwas neues installiert oder überhaupt irgendetwas getan wurde.

Weiterlesen

Der ODA-Patch 19.10 ist da!

Am 08. März wurde das neueste ODA-Software-Release 19.10 veröffentlicht. Warum ist dies ein Anlass zur Freude? Schließlich gibt es diese Patches für die Database Appliance, die kleine Schwester der Exadata, mehrmals pro Jahr.

Nun – in dieser sind einige Neuerungen enthalten, die die Verwendungs- und Konfigurationsmöglichkeiten mehr als sonst bei Patchen üblich verändern…

Weiterlesen

Review DOAG Konferenz 2018

Mit großem Erfolg haben wir als Aussteller an der diesjährigen DOAG Konferenz in Nürnberg teilgenommen.

Als Highlight hatte das neue HL-Monitoring Feature „RAC Health- & Performance-Analyzer“ Premiere. So bieten wir das erste Monitoring, das nicht nur Fehlerquellen meldet, sondern diese auch definiert und integrierte Lösungsvorschläge bietet!

Weiterlesen

Clone PDB from NON$CDB in Oracle 18

 

Es ist soweit – nach und nach nehmen die Migrationsprojekte auf Oracle 18 Fahrt auf.

Eine sehr cooles Feature in Oracle 18 ist, dass man in einer Multi- oder auch Single-Tenant-Umgebung eine neue PDB aus einer vorhandenen Non-CDB clonen kann.

Weiterlesen

Die neue Oracle Database Appliance – ODA X7-2: Testen Sie diese jetzt mit uns!

Wir haben uns mit der ODA X7-2M ausgestattet, um unseren Kunden und Interessenten diese für Testzwecke anzubieten und um sich live von der Leistungsfähigkeit zu überzeugen.

Die Oracle Database Appliance aus der Familie der Oracle Engineered Systems ist ein System, bei dem Hardware und Software (Betriebssystem und Datenbank) aus einer Hand kommen. Die Komponenten sind daher ideal aufeinander abgestimmt.

Durch das sehr gute Preis-/Leistungsverhältnis, die extrem hohe IO-Performance und die Capacity-On-Demand-Option stellt die ODA eine optimale Plattform für Oracle-Datenbanksysteme dar.

Im Vergleich zu den älteren Modellen, punkten die neuen Modelle der ODA X7-2 mit mehr Leistung, höherer Kapazität sowie vielen Neuerungen im Hintergrund.

Kontaktieren Sie uns für eine individuelle Beratung.

 

Ihr Herrmann & Lenz Team

 

SQL-Server-Konferenz 2018: Das Monitoring Module überzeugt!

Mit langjähriger Erfahrung und Expertise im Bereich Oracle, haben wir dieses Jahr unsere Tätigkeiten in dem SQL Server Gebiet ausgeweitet. Beratung hinsichtlich Lizenzen, Infrastruktur und Hochverfügbarkeit, sowie 1st- und 2nd Level Support oder Full Service sind nur ein kleiner Auszug unserer ausgezeichneten Dienstleistungen. Daneben unterstützt die Version 2 unseres Monitoring Modules nun die Überwachung von SQL-Servern im vollen Umfang.

Das Monitoring Module überzeugt

Wieder konnten wir in zahlreichen Gesprächen mit Interessenten und Gästen feststellen: Unser Monitoring Module ist einzigartig. Kein anderes Tool kommt an die Flexibilität und Möglichkeiten des Monitoring Modules heran. Mit unserer neusten Erweiterung der Custom-Dashboards (HLMocha) lassen sich zudem noch individueller Dashboards für alle Zwecke erstellen.

Zwei großartige Tage

Abschließend können wir sagen: Zwei großartige Tage auf der SQL-Server Konferenz liegen hinter uns und wir kommen definitiv wieder!