Archiv der Kategorie: Sicherheit

Oracle Produkte und die log4j-Sicherheitslücke (CVE-2021-44228 „Log4Shell“, CVE-2021-45046 und CVE-2021-45105)

Veröffentlicht am von

Letzte Änderung dieses Blog Posts: 13.1.2022 8:45

Die Sicherheitslücken CVE-2021-44228 „Log4Shell“, CVE-2021-45046, CVE-2021-45105 sowie CVE-2021-44832 betreffen die Java-Komponente log4j der Apache Foundation.

Der Patch für die erste Sicherheitslücke CVE-2021-44228 in Form der log4j-Version 2.15 war nicht vollständig, so dass am 14.12.2021 CVE-2021-45046 für diese Version veröffentlicht wurde. Alle Patches, die log4j 2.15 enthalten, sind somit hinfällig. Dies gilt nun auch für die Patches, die log4j 2.16 enthalten, da am 19.12.2021 mit CVE-2021-45105 eine weitere Lücke hinzugekommen ist, die DOS-Angriffe auf ungepatchte Installationen ermöglicht. Diese Lücke ist mit log4j 2.17 beseitigt. Die aktuellste Version für log4j ist 2.17.1 und enthält zusätzlich Fixes bzgl. CVE-2021-44832.

Die Log4Shell Sicherheitslücke betrifft sehr viele Oracle Produkte. Das ursprüngliche zentrale Dokment bei Oracle (Impact of December 2021 Apache Log4j Vulnerabilities on Oracle Products and Services (CVE-2021-44228, CVE-2021-45046) (Doc ID 2827611.1)) verweist nun auf zwei Unterdokumente, je eines für die Oracle Cloud (Impact of December 2021 Apache Log4j Vulnerabilities on Oracle cloud environments (CVE-2021-44228, CVE-2021-45046) (Doc ID 2830129.1)) und für On-Premises-Produkte (Impact of December 2021 Apache Log4j Vulnerabilities on Oracle on-premises products (CVE-2021-44228, CVE-2021-45046) (Doc ID 2830143.1)). Hier gibt es einen Überblick über alle vorhandenen und geplanten Patches, sowie über Produkte, die keinen Patch benötigen. In diesem Blog Post fassen wir zusammen, was wir über die wichtigsten (On-Premises-) Produkte wissen und welche Vorgehensweise wir empfehlen. Sobald wir relevante neue Informationen bekommen werden wir diese hier einfließen lassen.

Weiterlesen

Upgrade-Problemchen in 19c unter Windows

Veröffentlicht am von
Antworten

In meiner nunmehr 20-jährigen Erfahrung mit Oracle ist es schon eine Tradition, dass man unter Windows, naja, sagen wir mal, ein bisschen das „Schmuddelkind“ ist oder sich zumindest so von Oracle behandelt fühlt. Das beginnt bei der Dokumentation (inzwischen werden hier zumindest die Variablen nicht mehr mit $ bezeichnet…), geht weiter bei (nicht vorhandenen) Skript-Beispielen und zieht sich bis zum Patch- und Upgrade-Management.

Leider scheint sich dies auch in den neueren Versionen fortzusetzen. Aktuell gibt es zwei Bugs sowohl beim Upgrade auf die Versionen 19.4.0.0 / 19.5.0.0 sowie 19.6.0.0, …

Weiterlesen

Mögliche Probleme mit One-Off Patches in 19c aufgrund falscher Patch-Metadaten

Veröffentlicht am von

In der Oracle-Version 19 mit installierten DB-RUs 19.3, 19.4 oder dem DB-RUR 19.3.1 sind möglicherweise die Patch-Metadaten korrupt und / oder unvollständig.

Dies fällt beim Versuch auf, einen One-Off Patch zu installieren – hier erscheint dann die Fehlermeldung:

„Skip patch <bug#> from list of patches to apply: This patch is not needed.”

Dies wird im MOS Dokument Potential Impact to Database 19c One-off patches Due to Incorrect Patch Level Metadata (Doc ID 2575299.1) beschrieben.

Bei einem der o.g. Software-Ständen sollte laut dem MOS-Artikel ein Skript (chech_patch_level.sh) heruntergeladen und aus dem betreffenden ORACLE_HOME heraus ausgeführt werden, um festzustellen, ob das Problem in der aktuellen Umgebung existiert. Idealerweise ist der Output:

************************************************************
No action is required at this time
*************************************************************

Ansonsten muss / müssen der / die im Output genannte Patch(es) zurückgerollt, erneut heruntergeladen und neu installiert werden.