메인 콘텐츠로 건너뛰기
Waters Employee Login
Waters Korea

Log4Shell(log4j) 취약점이 Empower에 영향을 미칩니까? - WKB224539

  1. 마지막 업데이트
  2. PDF로 저장
Article number: 224539To English version

환경

  • Empower3.7
  • Empower 3.6.1
  • Empower 3.6.0
  • Empower 3 FR5, 후속 서비스 릴리스 및 핫픽스 포함
  • Empower 3 FR4, 후속 서비스 릴리스 및 핫픽스 포함
  • Empower 3 FR3, 후속 서비스 릴리스 및 핫픽스 포함
  • Empower 3 FR2, 후속 서비스 릴리스 및 핫픽스 포함
  • Empower QS
  • Empower QSN
  • Log4Shell
  • Log4j
  • CVE-2021-44228
  • CVE-2021-45046

답변

Apache Log4j 취약점 업데이트 2022년 2월 3일

Waters는 2021년 12월 9일에 보안 연구원에 의해 발표된 "zero day" 취약점(CVE-2021-44228)에 대해 인식하고 있으며, 이는 일반 소프트웨어 패키지(Apache log4j)에 영향을 미칩니다. log4j는 웹 응용 프로그램과 클라우드 서비스 제공 업체에서 널리 사용되기 때문에 이 취약점의 전체 범위는 복잡하며 그 영향은 아직 결정 중입니다. Waters 제품 및 엔지니어링 팀은 Waters 소프트웨어 제품에 대한 잠재적 영향에 대해 이 문제를 계속 조사하고 있습니다. Waters는 조사 결과에 대한 업데이트를 제공하고 고객에게 관련 정보 및/또는 지침을 알릴 것입니다.

Waters Empower 크로마토그래피 데이터 시스템

Waters는 표준 Empower 배포에 포함된 Empower Chromatography Data System(CDS) 애플리케이션 바이너리 및 타사 소프트웨어 코드를 평가했습니다. Waters 의 현재 연구 결과는 다음과 같습니다. 이 페이지에서 추가 업데이트를 계속 확인하십시오.

  • 모든 버전의 Waters Empower CDS의 경우, Empower 응용 프로그램 코드베이스는 Java를 기반으로 하지 않으며 Apache log4j 라이브러리를 사용하지 않습니다.
  • Empower 퍼스널, Empower Workgroup 및 Empower 엔터프라이즈는 Apache log4j 라이브러리를 포함하는 Oracle 데이터베이스 설치와 함께 제공되지만(자세한 내용은 아래 참조) Waters에서 지원하는 Empower CDS의 기본 구현은 일반적인 애플리케이션 기능을 위해 log4j 라이브러리를 사용하거나 사용하지 않습니다.
  • Waters는 지원되는 모든 버전의 Empower를 테스트했으며 Waters가 제공한 미디어를 사용하는 Oracle 설치에서 배포된 영향을 받는 Log4j 라이브러리가 포함된 디렉터리를 안전하게 검역하거나 제거할 수 있음을 확인했습니다. zip 또는 이와 동등한 유틸리티를 사용하여 영향을 받는 디렉터리를 보관하여 검역하는 것이 좋습니다. 왜냐하면 단순히 제거하는 것보다는 되돌릴 수 있으므로 오류가 발생할 가능성이 적습니다.

 

  • Empower 3.6.x
  • Empower 퍼스널, Empower 워크그룹 및 Empower 엔터프라이즈 버전 3.6.x의 기본 설치에는 Apache log4j 라이브러리를 포함하는 Oracle 데이터베이스가 포함됩니다. 이러한 환경의 취약점 스캔은 Apache log4j 라이브러리의 취약한 버전을 식별할 수 있습니다. 영향을 받는 log4j 라이브러리는 다음 위치에 있습니다.

\Empower\Oracle\Oracle19c\md\property_graph\lib
Oracle 데이터베이스 소프트웨어와 함께 번들로 제공되는 Oracle Spatial 제품의 일부입니다. 이에 대한 패치는 Oracle Doc ID 2830143.1에 나와 있습니다. 그러나 이 구성 요소는 Empower CDS 제품에서 사용되지 않습니다. 상위 디렉터리 \Empower\Oracle\Oracle19c\md는 Empower의 정상적인 작동에 영향을 주지 않고 안전하게 검역하거나 제거할 수 있습니다.

\Empower\Oracle\Oracle19c\sqldeveloper\sqldeveloper\lib
영향을 받는 log4j 라이브러리가 존재하는 동안에는 SQL Developer에 의해 사용되지 않습니다. (Oracle Doc ID 2828123.1) SQL Developer는 Empower 제품 작동에 사용되지도 않고 필수적이지도 않습니다. 상위 디렉터리 \Empower\Oracle\Oracle19c\sqldeveloper는 Empower의 정상적인 작동에 영향을 주지 않고 안전하게 검역하거나 제거할 수 있습니다.

\\Empower\Oracle\Oracle19c\suptools\tfa\release\tfa_home\jlib
Oracle 데이터베이스 소프트웨어와 함께 제공되는 Oracle Trace File Analyzer 제품의 일부입니다. 이에 대한 패치는 Oracle Doc ID 2830143.1에 나와 있습니다. 그러나 이 구성 요소는 Empower CDS 제품에서 사용되지 않습니다. 상위 디렉터리 \Empower\Oracle\Oracle19c\suptools\tfa는 Empower의 정상적인 작동에 영향을 주지 않고 안전하게 검역하거나 제거할 수 있습니다.

  • Empower 클라이언트 또는 Empower LAC/E 버전 3.6.x의 기본 설치는 Apache Log4j 라이브러리를 포함하지 않으며 Log4j 취약점의 영향을 받지 않습니다.

 

  • Empower 3 FR5
  • Empower 3 FR5를 기반으로 하는 Empower 퍼스널, Empower 워크그룹 및 Empower 엔터프라이즈의 기본 설치에는 Apache log4j 라이브러리를 포함하는 Oracle 데이터베이스가 포함됩니다. 이러한 환경의 취약점 스캔은 Apache log4j 라이브러리의 취약한 버전을 식별할 수 있습니다. 영향을 받는 log4j 라이브러리는 다음 위치에 있습니다.

\Empower\Oracle\Oracle18c\md\jlib
Oracle 데이터베이스 소프트웨어와 함께 번들로 제공되는 Oracle Spatial 제품의 일부입니다. 이에 대한 패치는 Oracle Doc ID 2830143.1에 나와 있습니다. 그러나 이 구성 요소는 Empower CDS 제품에서 사용되지 않습니다. 상위 디렉터리 \Empower\Oracle\Oracle18c\md는 Empower의 정상적인 작동에 영향을 주지 않고 안전하게 검역하거나 제거할 수 있습니다.

\Empower\Oracle\Oracle18c\md\property_graph\lib
Oracle 데이터베이스 소프트웨어와 함께 번들로 제공되는 Oracle Spatial 제품의 일부입니다. 이에 대한 패치는 Oracle Doc ID 2830143.1에 나와 있습니다. 그러나 이 구성 요소는 Empower CDS 제품에서 사용되지 않습니다. 상위 디렉터리 \Empower\Oracle\Oracle18c\md는 Empower의 정상적인 작동에 영향을 주지 않고 안전하게 검역하거나 제거할 수 있습니다.

\Empower\Oracle\Oracle18c\sqldeveloper\sqldeveloper\lib
영향을 받는 log4j 라이브러리가 존재하는 동안에는 SQL Developer에 의해 사용되지 않습니다. (Oracle Doc ID 2828123.1) SQL Developer는 Empower 제품 작동에 사용되지도 않고 필수적이지도 않습니다. 상위 디렉터리 \Empower\Oracle\Oracle18c\sqldeveloper는 Empower의 정상적인 작동에 영향을 주지 않고 안전하게 검역하거나 제거할 수 있습니다.

\Empower\Oracle\Oracle18c\sqldeveloper\sqldeveloper\extensions\oracle.sqldeveloper.onsd\lib
영향을 받는 log4j 라이브러리가 존재하는 동안에는 SQL Developer에 의해 사용되지 않습니다. (Oracle Doc ID 2828123.1) SQL Developer는 Empower 제품 작동에 사용되지도 않고 필수적이지도 않습니다. 상위 디렉터리 \Empower\Oracle\Oracle18c\sqldeveloper은 Empower의 정상적인 작동에 영향을 주지 않고 안전하게 검역하거나 제거할 수 있습니다.

\Empower\Oracle\Oracle18c\oui\jlib
Oracle Universal Installer는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

  • Empower 클라이언트 또는 Empower 3 FR5 기반 Empower LAC/E 버전의 기본 설치는 Apache Log4j 라이브러리를 포함하지 않으며 log4j 취약점의 영향을 받지 않습니다.

 

  • Empower 3 FR4
  • Empower 3 FR4를 기반으로 하는 Empower 퍼스널, Empower 워크그룹 및 Empower 엔터프라이즈의 기본 설치에는 Apache log4j 라이브러리를 포함하는 Oracle 데이터베이스가 포함됩니다. 이러한 환경의 취약점 스캔은 Apache log4j 라이브러리의 취약한 버전을 식별할 수 있습니다. 영향을 받는 Log4j 라이브러리는 다음 위치에 있습니다.

\Empower\Oracle\Oracle12c\ccr\lib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle12c\oc4j\ant\lib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle12c\sysman\jlib\ocm
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle12c\sqldeveloper\sqldeveloper\lib
영향을 받는 log4j 라이브러리가 존재하는 동안에는 SQL Developer에 의해 사용되지 않습니다. (Oracle Doc ID 2828123.1) SQL Developer는 Empower 제품 작동에 사용되지도 않고 필수적이지도 않습니다. 상위 디렉터리 \Empower\Oracle\Oracle12c\sqldeveloper은 Empower의 정상적인 작동에 영향을 주지 않고 안전하게 검역하거나 제거할 수 있습니다.

\Empower\Oracle\Oracle12c\oui\jlib\jlib
Oracle Universal Installer는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

  • Empower 3 FR4 기반 Empower 클라이언트 또는 Empower LAC/E 버전의 기본 설치에는 다음 위치에 있는 Apache log4j 라이브러리가 포함되어 있습니다.

\Empower\Oracle\Oracle12cClient\oui\jlib\jlib
Oracle Universal Installer는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

  • Empower 3 FR3
  • Empower 3 FR3을 기반으로 하는 Empower 퍼스널, Empower 워크그룹 및 Empower 엔터프라이즈의 기본 설치에는 Apache log4j 라이브러리를 포함하는 Oracle 데이터베이스가 포함됩니다. 이러한 환경의 취약점 스캔은 Apache log4j 라이브러리의 취약한 버전을 식별할 수 있습니다. 영향을 받는 log4j 라이브러리는 다음 위치에 있습니다.

\Empower\Oracle\Oracle11g_4\ccr\lib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle11g_4\oc4j\ant\lib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle11g_4\sysman\jlib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle11g_4\sysman\jlib\ocm
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle11g_4\oui\jlib\jlib
Oracle Universal Installer는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

  • Empower 3 FR3 기반 Empower 클라이언트 또는 Empower LAC/E 버전의 기본 설치에는 Apache log4j 라이브러리가 포함되어 있습니다. Apache log4j 라이브러리는 다음 위치에 있습니다.

\Empower\Oracle\Oracle11gClient_4\oui\jlib\jlib
Oracle Universal Installer는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle11gClient_4\sysman\jlib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

 

  • Empower 3 FR2
  • Empower 3 FR2를 기반으로 하는 Empower 퍼스널, Empower 워크그룹 및 Empower 엔터프라이즈의 기본 설치에는 Apache log4j 라이브러리를 포함하는 Oracle 데이터베이스가 포함됩니다. 이러한 환경의 취약점 스캔은 Apache log4j 라이브러리의 취약한 버전을 식별할 수 있습니다. 영향을 받는 log4j 라이브러리는 다음 위치에 있습니다.

\Empower\Oracle\Oracle11g_2\sysman\jlib\ocm
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle11g_2\sysman\jlib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle11g_2\oui\jlib\jlib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle11g_2\oc4\ant\lib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle11g_2\ccr\lib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle11g_2\inventory\scripts\ext\jlib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

  • Empower 클라이언트 또는 Empower 3 FR2 기반 Empower LAC/E 버전의 기본 설치에는 Apache log4j 라이브러리가 포함되어 있습니다. 이러한 환경의 취약점 스캔은 Apache log4j 라이브러리의 취약한 버전을 식별할 수 있습니다. Apache log4j 라이브러리는 다음 위치에 있습니다.

\Empower\Oracle\Oracle11gClient_2\sysman\jlib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle11gClient_2\oui\jlib\jlib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle11gClient_2\OPatch\ocm\lib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

\Empower\Oracle\Oracle11gClient_2\ccr\lib
버전 1.x log4j 라이브러리는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

 

  • Waters는 또한 Empower와 함께 자주 사용되는 다음 제품에 대한 log4j 취약점의 영향을 평가했습니다.

Sample Set Generator

Empower Inventory Viewer

Sample Weight Importer

Waters Data Converter v2.1

Waters Data Converter V3.2

SecureSync v1.0

Waters Instrument Drivers

Waters ICF Support Layer

Agilent Instrument Control Framework 및 관련 드라이버에서 log4j 라이브러리가 있는지 스캔했습니다. 검색된 항목이 없습니다.

추가 정보

Empower 데이터베이스 설치에서 Waters 제공 Oracle 데이터베이스 소프트웨어를 사용하지 않는 경우, 해당 공급업체에 문의하여 특정 환경에서 이 취약점을 평가하십시오.

 

id224539, EMP2LIC, EMP2OPT, EMP2SW, EMP3GC, EMP3LIC, EMP3OPT, EMP3SW, EMPGC, EMPGPC, EMPLIC, EMPOWER2, EMPOWER3, EMPSW, SUP