메인 콘텐츠로 건너뛰기
Waters Employee Login
Waters Korea

log4j의 Apache "Log4Shell" 취약점이 NuGenesis에 영향을 미칩니까? - WKB224434

  1. 마지막 업데이트
  2. PDF로 저장
Article number: 224434To English version

환경

  • NuGenesis 9
    • Oracle 19c / NuGenesis 9.1
    • Oracle 12c / NuGenesis 9.0
    • JasperSoft Studio v5
  • NuGenesis 8
    • Oracle 11gR2
  • Log4Shell(Log4j 버전 2)
    • CVE-2021-44228
    • CVE-2021-45046
    • CVE-2021-45105
  • Log4Shell(Log4j 버전 1 및 2)
    • CVE-2021-4104

답변

Apache Log4j 취약점 업데이트 2022년 2월 3일

Waters는 2021년 12월 9일에 보안 연구원에 의해 발표된 "zero day" 취약점(CVE-2021-44228)에 대해 인식하고 있으며, 이는 일반 소프트웨어 패키지(Apache Log4J)에 영향을 미칩니다. 왜냐하면 Log4j는 웹 응용 프로그램과 클라우드 서비스 제공 업체에서 널리 사용되기 때문에 이 취약점의 전체 범위는 복잡하며 그 영향은 아직 결정 중입니다. Waters 제품 및 엔지니어링 팀은 Waters의 소프트웨어 제품에 미칠 수 있는 잠재적 영향에 대해 이 문제를 계속 조사하고 있습니다. Waters는 조사 결과에 대한 최신 정보를 제공하고 평가가 완료되면 관련 정보 및/또는 지침을 고객에게 알릴것입니다.

 

Waters NuGenesis

Waters는 NuGenesis 및 Analytical Workflow Manager(AWM) 응용 프로그램 바이너리 및 표준 NuGenesis 배포에 포함된 타사 소프트웨어 코드에 대한 평가를 수행했습니다. 이러한 환경의 취약점 스캔을 통해 Apache Log4j 라이브러리의 존재를 식별할 수 있습니다. Log4j 라이브러리의 버전 1.x 인스턴스 - Apache에 의해 영향을 받지 않는 것으로 표시됨(https://logging.apache.org/log4j/2.x/security.html) - 이는 NuGenesis 소프트웨어의 특정 구성 요소에 존재합니다.

Waters는 지원되는 모든 버전의 NuGenesis 및 Analytical Workflow Manager(AWM)를 테스트한 결과, Waters가 제공한 미디어를 사용하는 Oracle 설치에서 배포된 영향을 받는 Log4j 라이브러리가 포함된 디렉터리를 안전하게 검역하거나 제거할 수 있음을 확인했습니다. zip 또는 이와 동등한 유틸리티를 사용하여 영향을 받는 디렉터리를 보관하여 검역하는 것이 좋습니다. 왜냐하면 단순히 제거하는 것보다는 되돌릴 수 있으므로 오류가 발생할 가능성이 적습니다. Waters의 현재 연구 결과는 다음과 같습니다. 이 페이지에서 추가 업데이트를 계속 확인하십시오.

 

  • NuGenesis 8 및 9 SDMS
  • 핵심 SDMS 응용 프로그램은 Log4j v2 라이브러리를 사용하지 않습니다.

NuGenesis 9.x 및 NuGenesis 8 SDMS의 모든 데이터 어댑터 릴리스에 포함된 SDMS Instrument Agent에는 다음 위치에 Log4j v1.2.8 라이브러리가 포함되어 있습니다.

<드라이브:>\Program Files\Waters\SDMSInstrumentAgents\lib\org

기기 에이전트는 데이터 어댑터의 옵션 기능이며 모든 시스템에 필요한 것은 아닙니다. 에이전트의 기본 로깅 설정은 JMSAppender 클래스를 사용하지 않으므로 영향을 받지 않습니다. (Apache 보안 경보: https://logging.apache.org/log4j/2.x/security.html 참조)

 

  • NuGenesis 8 및 9 LMS
  • NuGenesis LMS는 다음 위치에 있는 LMS 서버에서 Log4j 라이브러리를 사용합니다.

NuGenesis 8 LMS 서버:
<드라이브:>\WatersLMSServer\lib\org
<드라이브:>\WatersLMSServer\Jboss-6.0.0.Final\client
<드라이브>\WatersLMSServer\Jboss-6.0.0.Final\common\lib

Jboss Log Manager의 기본 로깅 설정은 JMSAppender 클래스를 사용하지 않으므로 영향을 받지 않습니다(Apache 보안 경보: https://logging.apache.org/log4j/2.x/security.html 참조)

NuGenesis 9.x LMS 서버:
<드라이브:> \WatersLMSServer\Wildfly-11.0.0.Final\modules\system\layers\base\org\jboss\log4j\logmanager\main - 모든 설치에 존재
<드라이브:> \WatersLMSServer\SAPInterface\actback\lib3rd\wildfly - LMS-SAP 인터페이스가 설치된 경우에만 표시됨
<드라이브:> \WatersLMSServer\Workflow\actback\lib3rd\wildfly - NuGenesis Connectors 서버가 설치된 경우에만 표시됨

사용된 Log4j 버전(1.1.4)은 Log4j V2 취약점의 영향을 받지 않습니다(Apache 보안 경고: https://logging.apache.org/log4j/2.x/security.html 참조)

 

  • NuGenesis 9.1, 9.2 Oracle 데이터베이스(Oracle 19c)
  • NuGenesis 9.1 및 9.2의 기본 설치에는 Apache Log4j 라이브러리를 포함하는 Oracle 데이터베이스가 포함됩니다. 이러한 환경의 취약점 스캔은 Apache Log4j 라이브러리의 취약한 버전을 식별할 수 있습니다. 영향을 받는 Log4j 라이브러리는 다음 위치에 있습니다.

<드라이브:>\oracle\product\19.6.0\Oracle19c\suptools\tfa
Oracle 데이터베이스 소프트웨어와 함께 번들로 제공되는Oracle Trace File Analyzer 제품의 일부입니다. 이에 대한 패치는 Oracle Doc ID 2830143.1에 나와 있습니다. 그러나 이 구성 요소는 NuGenesis 제품 및 디렉터리에 의해 사용되지 않습니다.<드라이브:>\oracle\product\19.6.0\Oracle19c\suptools\tfa는 NuGenesis 의 정상적인 작동에 영향을 주지 않고 검역하거나 제거할 수 있습니다.

<드라이브:>\oracle\product\19.6.0\Oracle19c\md
Oracle 데이터베이스 소프트웨어와 함께 번들로 제공되는 Oracle Spatial 제품의 일부입니다. 이에 대한 패치는 Oracle Doc ID 2830143.1에 나와 있습니다. 그러나 이 구성 요소는 NuGenesis 제품 및 디렉터리에 의해 사용되지 않습니다.<드라이브:>\oracle\product\19.6.0\Oracle19c\md는 NuGenesis 의 정상적인 작동에 영향을 주지 않고 검역하거나 제거할 수 있습니다.

 

  • NuGenesis 9.0 Oracle 데이터베이스(Oracle 12c)
  • NuGenesis 9.0의 기본 설치에는 Apache Log4j 라이브러리를 포함하는 Oracle 데이터베이스가 포함됩니다. 이러한 환경의 취약점 스캔은 Apache Log4j 라이브러리의 취약한 버전을 식별할 수 있습니다. 영향을 받는 Log4j 라이브러리는 다음 위치에 있습니다.

log4j v1 라이브러리의 버전 1.x 사본은 Oracle Database 12c 및 JasperSoft Studio 프로그램에 존재합니다. 어떤 경우에도 교정이 필요하지 않습니다. (라이브러리는 어디에 있습니까?) 또한 JasperSoft Studio는 NuGenesis LMS용 리포트를 개발하는 데만 사용됩니다. 이 응용 프로그램에 대한 액세스는 Jasper 리포트를 개발하는 사람으로만 제한되어야 합니다.

<드라이브:>\Program Files\TIBCO\Jaspersoft Studio-6.4.0\plugins
버전 1.x Log4j 라이브러리는 영향을 받지 않습니다. (https://community.jaspersoft.com/wik...rsoft-products)

<드라이브:>\oracle\product\12.2.0\Oracle12cR2\ccr\lib
버전 1.x Log4j 라이브러리는 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

<드라이브:>\oracle\product\12.2.0\Oracle12cR2\sqldeveloper\sqldeveloper\lib
영향을 받는 Log4j 라이브러리가 존재하는 동안에는 SQL Developer에 의해 사용되지 않습니다. (Oracle Doc ID 2828123.1) SQL Developer는 NuGenesis 제품 작동에 사용되지도 않고 필수적이지도 않습니다. 상위 디렉터리 <드라이브:>\oracle\product\12.2.0\Oracle12cR2\sqldeveloper은 NuGenesis 의 정상적인 작동에 영향을 주지 않고 검역하거나 제거할 수 있습니다.

<드라이브:>\oracle\product\12.2.0\Oracle12cR2\oui\jlib\jlib
Oracle Universal Installer는 Log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

<드라이브:>\oracle\product\12.2.0\Oracle12cR2\sysman\jlib\ocm
버전 1.x Log4j 라이브러리는 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

  • NuGenesis 8.x
  • NuGenesis 8.x의 기본 설치에는 Apache Log4j 라이브러리를 포함하는 Oracle 데이터베이스가 포함됩니다. 이러한 환경의 취약점 스캔은 Apache Log4j 라이브러리의 취약한 버전을 식별할 수 있습니다. 영향을 받는 Log4j 라이브러리는 다음 위치에 있습니다.

<드라이브:>\oracle\product\11.2.0\SDMS\inventory\scripts\ext\jlib
버전 1.x Log4j 라이브러리는 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

<드라이브:>\oracle\product\11.2.0\SDMS\ccr\lib
버전 1.x Log4j 라이브러리는 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

<드라이브:>\oracle\product\11.2.0\SDMS\oui\jlib\jlib
Oracle Universal Installer는 Log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

<드라이브:>\oracle\product\11.2.0\SDMS\sysman\jlib
버전 1.x Log4j 라이브러리는 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

<드라이브:>\oracle\product\11.2.0\SDMS\sysman\jlib\ocm
버전 1.x Log4j 라이브러리는 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

 

  • Analytical Workflow Manager(AWM) 2.0
  • AWM 2.0의 기본 설치에는 1.x Apache Log4j 라이브러리가 Oracle 데이터베이스가 포함됩니다. 이러한 환경의 취약점 스캔은 Apache Log4j 라이브러리가 탐지될 수 있습니다. Log4j 라이브러리는 다음 위치에 있습니다.

<드라이브>:\app\oracle\product\12.1.0\dbhome_1\ccr
버전 1.x Log4j 라이브러리는 Log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

<드라이브>:\app\oracle\product\12.1.0\dbhome_1\sysman
버전 1.x Log4j 라이브러리는 Log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

<드라이브>:\app\oracle\product\12.1.0\dbhome_1\sqldeveloper
버전 1.x Log4j 라이브러리는 Log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

<드라이브>:\app\oracle\product\12.1.0\dbhome_1\oui
Oracle Universal Installer는 Log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)

 

  • Waters는 또한 NuGenesis와 함께 자주 사용되는 다음 제품에 대한 log4j 취약점의 영향을 평가했습니다. 초기 조사 결과 영향이 없는 것으로 확인되었으며, 다음 사항을 계속해서 평가합니다.
  • Paradigm - Log4j 라이브러리는 Paradigm의 기본 설치에 존재하지 않습니다.

추가 정보

 

id224434, ELN, NGLMS, NGLMSLIC, NGLMSOPT, SDMS, SDMS8, SDMS8NU, SUPISDMS, SUPNG, 리뷰