Zusammenfassung zum CVE-2021-44228 aus Oracle Datenbank und Middleware Sicht

Oracle hat am 10.12.2021 ein außerordentliches Sicherheitsupdate bezüglich der Log4j Komponente veröffentlicht. Die Schwachstelle wird unter CVE-2021-44228 geführt. Im Laufe der Untersuchungen wurden weitere Schwachstellen gefunden, der CVE-2021-45046 und teilweise auch CVE-2021-45105. Daher existieren auch mehrere neue Versionen der betroffen Log4j-Bibliothek, die die einzelnen Schwachstellen beseitigen. Betroffen sind ausschließlich die 2.x-Versionen der Bibliothek, 1.x-Versionen sind nicht unmittelbar betroffen.

Oracle untersucht anhand neuer Erkenntnisse kontinuierlich, ob seine Produkte von den jeweiligen Schwachstellen unterwandert werden und stellt entsprechende Patches und Workarounds bereit.

Nach aktuellen Stand sind beispielsweise folgende weit verbreiteten Produkte betroffen:

• Oracle Fusion Middleware Infrastructure
• Reports Developer
• Oracle GoldenGate
• Oracle HTTP Server
• Oracle SOA Suite
• SQL Developer
• Oracle Spatial and Graph ist in Versionen 12.2.*, 18.* und 21.*
• Autonomous Health Framework (AHF) inklusive Trace File Analyzer (TFA) und ORAchk/EXAchk
• Automatic Service Request (ASR) für Engineered Systems und sonstige Oracle Hardware
• Oracle Enterprise Manager

Nicht direkt betroffen sind unter anderem:

• Oracle Database (außer AHF)
• Oracle Database Client
• Oracle Database Appliance (außer AHF und ASR)
• Oracle Exadata Storage Server Software

Oracle pflegt ein Dokument mit allen aktuellen Informationen in My Oracle Support: Impact of December 2021 Apache Log4j Vulnerabilities on Oracle Products and Services (CVE-2021-44228, CVE-2021-45046) (Doc ID 2827611.1). Über diese MOS-Note gelangt man auch zu den jeweiligen Notes und Patches für die einzelnen betroffenen Oracle Produkte.

Wir empfehlen ausdrücklich, Ihre Umgebungen auf die Schwachstellen hin zu überprüfen und geeignete Maßnahmen zur Beseitigung der Angreifbarkeit einzuleiten. Gerne beraten und unterstützen wir Sie bei den notwendigen Aktivitäten.