Merhaba,
bildiğiniz üzere yakın zamanda herkesin gündeminde olan Log4j güvenlik zaafiyeti ciddi anlamda risk teşkil etmektedir. Müşterilemizdeki zaafiyet taramalarında en çok karşımıza çıkan bulguları özetlemeye ve alınması gereken aksiyonları aktarmaya çalıştık.
1- $ORACLE_HOME/md/property graph directory altında bulunan jar file kaynaklı bulgu çıkmaktadır. Bu dizin Parallel Graph Analytics (PGX) tarafından kullanılmaktadır ancak Oracle veritabanında varsayılan olarak PGX configure edilmediği için sistemi etkilememektedir. Eğer sisteminizdeki RU October 2020 ve sonrası ise sistem zaten etkilenmeyecektir.
2- Log4jv2 Oracle Spatial özelliğinin bir parçasıdır ve $ORACLE_HOME/md/jlib dizininde jar dosyaları bulunmaktadır. Varsayılan olarak Oracle Spatial and Graph Network Data Model (NDM) Server configure edilmediğinden bu kütüphaneyi kullanacak herhangi bir process yoktur. Yine de log4j dosyaların varlığından dolayı bir endişeniz varsa 33674035 numaları patch veya October 2021 critical patch update geçilerek bu dosyaların kaldırılmasını sağlayabilirsiniz.
3- Bazı veritabanı sunucularında veritabanına patch geçmek veya veritabanını upgrade etmek için setup/patch dosyalar bulunabiliyor. Mesela /u01/patches/32540149/32507738/files/md/jlib/log4j-core-2.9.1.jar dosyası sadece patch geçmek için indirilmiş bir dosya ve bu tarz dosyaları zaafiyet taramalarında karşımıza çıkmaktadır. Bunlar bir process tarafından kullanılmadığı için herhangi bir risk teşkil etmemektedir. Yine de ihtiyacınız olmayan bu log4j dosyalarının varlığından endişe duyuyorsanız sistemden silebilirsiniz:)
4- Autonomous Health Framework (AHF)’ün bir parçası olan Trace File Analyzer (TFA) log4jv2 kullanmaktadır ve taramalarda kesin bulgu olarak karşımıza çıkmaktadır. Bu dosyalardan kurtulmak için şu an kullanılan tfactl versiyonunun 21.3.4 ve sonrası versiyonları upgrade edilmesi gerekmektedir.
Güncel version indirmek için: Autonomous Health Framework (AHF) – Including TFA and ORAchk/EXAchk (Doc ID 2550798.1)
Aşağıdaki komut sistemdeki tfactl versiyon bilgisini vermektedir.
$AHF_HOME/bin/tfactl -version
Aşağıdaki notu bu aralar sıklıkla takip etmekte fayda var 🙂
Oracle Database and Apache log4j vulnerability CVE-2021-44228 and CVE-2021-45046 (Doc ID 2828877.1)
5- Oracle Enterprise Manager Cloud Control kullanılan ortamlarda da bu zaafiyetin kapatılması gerekmektedir.
OMS Home (Oracle WebLogic Server) log4j jar dosyası içermektedir.
$ORACLE_HOME/oracle_common/modules/thirdparty/
EM DB Plugin Home aşağıdaki log4j jar dosyalarını içermektedir, bunlar kullanılmadığı için vulnerable değil.
$ GC_INSTANCE_HOME/servers/EMGC_OMS1/tmp/_WL_user/emdb//database/jet/emsaasui/emcdbms-ui/ear/APP-INF/lib/log4j-core-2.8.2.jar $ GC_INSTANCE_HOME/servers/EMGC_OMS1/tmp/_WL_user/emdb//database/jet/emsaasui/emcdbms-ui/ear/APP-INF/lib/log4j-web-2.8.2.jar
$ GC_INSTANCE_HOME/servers/EMGC_OMS1/tmp/_WL_user/emdb/*/database/jet/emsaasui/emcdbms-ui/ear/APP-INF/lib/log4j-api-2.8.2.jar
Agent Home aşağıdaki jar dosyalarını içermektedir.
$AGENT_HOME/oracle_common/modules/thirdparty/log4j-2.11.1.jar
$AGENT_HOME/oracle_common/plugins/maven/com/oracle/
$AGENT_HOME/plugins/oracle.apps.psft.discovery.plugin_13.4.1.1.0/archives/log4j-core-2.9.1.jar
EMCC için aşağıdaki notu takip ederek ilgili aksiyonları alabilirsiniz:
Security Alert For CVE-2021-44228 & CVE-2021-45046 Patch Availability Document for Oracle Enterprise Manager Cloud Control (Doc ID 2828296.1)
Umarım faydalı olmuştur.
dba@forenda.com.tr