log4j의 Apache "Log4Shell" 취약점이 NuGenesis에 영향을 미칩니까? - WKB224434

환경

• NuGenesis 9
  • Oracle 19c / NuGenesis 9.1, 9.2, 9.3
  • Oracle 12c / NuGenesis 9.0
  • JasperSoft Studio v5, v6
• NuGenesis 8
  • Oracle 11gR2
• Log4Shell(Log4j 버전 2)
  • CVE-2021-44228
  • CVE-2021-45046
  • CVE-2021-45105
• Log4Shell(Log4j 버전 1 및 2)
  • CVE-2021-4104

답변

Waters는 NuGenesis 및 Analytical Workflow Manager(AWM) 응용 프로그램 바이너리 및 표준 NuGenesis 배포에 포함된 타사 소프트웨어 코드에 대한 평가를 수행했습니다. 이러한 환경의 취약점 스캔을 통해 Apache Log4j 라이브러리의 존재를 식별할 수 있습니다. Log4j 라이브러리의 버전 1.x 인스턴스 - Apache에 의해 영향을 받지 않는 것으로 표시됨(https://logging.apache.org/log4j/2.x/security.html) - 이는 NuGenesis 소프트웨어의 특정 구성 요소에 존재합니다.

Waters는 지원되는 모든 버전의 NuGenesis 및 Analytical Workflow Manager(AWM)를 테스트한 결과, Waters가 제공한 미디어를 사용하는 Oracle 설치에서 배포된 영향을 받는 Log4j 라이브러리가 포함된 디렉터리를 안전하게 검역하거나 제거할 수 있음을 확인했습니다. zip 또는 이와 동등한 유틸리티를 사용하여 영향을 받는 디렉터리를 보관하여 검역하는 것이 좋습니다. 왜냐하면 단순히 제거하는 것보다는 되돌릴 수 있으므로 오류가 발생할 가능성이 적습니다. Waters의 현재 연구 결과는 다음과 같습니다. 이 페이지에서 추가 업데이트를 계속 확인하십시오.

참고: Log4j 취약점이 NuGenesis 시스템에서 아래 지정된 경로를 벗어난 파일에서 감지되면 NuGenesis에서 해당 파일을 사용하지 않습니다. 파일을 제거해도 NuGenesis 에는 영향을 미치지 않습니다. 그러나 이러한 파일과 관련된 소프트웨어 패키지의 기능에 영향을 미칠 수 있습니다.

• NuGenesis 8 및 9 SDMS 응용 프로그램
  • 핵심 SDMS 응용 프로그램은 Log4j v2 라이브러리를 사용하지 않습니다.
  • NuGenesis 9.x 및 NuGenesis 8 SDMS의 모든 데이터 어댑터 릴리스에 포함된 SDMS Instrument Agent에는 다음 위치에 Log4j v1.2.8 라이브러리가 포함되어 있습니다.
    • Drive:\Program Files\Waters\SDMSInstrumentAgents\lib\org
  • 기기 에이전트는 데이터 어댑터의 옵션 기능이며 모든 시스템에 필요한 것은 아닙니다. 에이전트의 기본 로깅 설정은 JMSAppender 클래스를 사용하지 않으므로 영향을 받지 않습니다. (Apache 보안 경보: https://logging.apache.org/log4j/2.x/security.html 참조)
• NuGenesis 8 및 9 LMS 응용 프로그램
  • NuGenesis LMS는 다음 위치에 있는 LMS 서버에서 Log4j 라이브러리를 사용합니다.
    • NuGenesis 8 LMS Server:
      • Drive:\WatersLMSServer\lib\org
      • Drive:\WatersLMSServer\Jboss-6.0.0.Final\client
      • Drive:\WatersLMSServer\Jboss-6.0.0.Final\common\lib
      • Jboss Log Manager의 기본 로깅 설정은 JMSAppender 클래스를 사용하지 않으므로 영향을 받지 않습니다(Apache 보안 경보: https://logging.apache.org/log4j/2.x/security.html 참조)
    • NuGenesis 9.x LMS Server:
      • Drive:\WatersLMSServer\Wildfly-11.0.0.Final\modules\system\layers\base\org\jboss\log4j\logmanager\main - present in all installs
      • Drive:\WatersLMSServer\SAPInterface\actback\lib3rd\wildfly - LMS-SAP Interface가 설치된 경우에만 표시됩니다.
      • Drive:\WatersLMSServer\Workflow\actback\lib3rd\wildfly - NuGenesis Connectors server가 설치된 경우에만 표시됩니다.
      • 사용된 Log4j 버전(1.1.4)은 Log4j V2 취약점의 영향을 받지 않습니다(Apache 보안 경고: https://logging.apache.org/log4j/2.x/security.html 참조)
    • JasperSoft Studio:
      • Drive:\Program Files\TIBCO\Jaspersoft Studio-6.4.0\plugins
      • 이러한 1.x Log4j 라이브러리 버전에는 영향을 미치지 않습니다. (https://community.jaspersoft.com/wik...rsoft-products)
• NuGenesis 9.1, 9.2 Oracle 데이터베이스(Oracle 19c)
  • Windows에 NuGenesis 9.1 및 9.2 Oracle 데이터베이스를 설치하면 다음 위치에 Log4j 라이브러리가 있습니다.
    • Drive:\oracle\product\19.6.0\Oracle19c\suptools\tfa
      • 이는 Oracle 데이터베이스 소프트웨어와 함께 번들로 제공되는Oracle Trace File Analyzer 제품의 일부입니다. 이에 대한 패치는 Oracle Doc ID 2830143.1에 나와 있습니다. 그러나 이 구성 요소는 NuGenesis 제품 및 디렉터리에 의해 사용되지 않습니다. 이 디렉터리는 NuGenesis의 정상적인 작동에 영향을 주지 않고 제거할 수 있습니다.
    • Drive:\oracle\product\19.6.0\Oracle19c\md
      • Oracle 데이터베이스 소프트웨어와 함께 번들로 제공되는 Oracle Spatial 제품의 일부입니다. 이에 대한 패치는 Oracle Doc ID 2830143.1에 나와 있습니다. 그러나 이 구성 요소는 NuGenesis 제품 및 디렉터리에 의해 사용되지 않습니다. 이 디렉터리는 NuGenesis의 정상적인 작동에 영향을 주지 않고 제거할 수 있습니다.
• NuGenesis 9.0 Oracle 데이터베이스(Oracle 12c)
  • Windows에 NuGenesis 9.1 및 9.2 Oracle 데이터베이스를 설치하면 다음 위치에 Log4j 라이브러리가 있습니다.
    • <Drive:>\oracle\product\12.2.0\Oracle12cR2\ccr\lib
      • 이러한 1.x Log4j 라이브러리 버전은 영향을 받지 않습니다. (Oracle 문서 ID 2830143.1)
    • <Drive:>\oracle\product\12.2.0\Oracle12cR2\sqldeveloper\sqldeveloper\lib
      • 영향을 받는 log4j 라이브러리가 존재하는 동안에는 SQL Developer에 의해 사용되지 않습니다. (Oracle Doc ID 2828123.1) SQL Developer는 NuGenesis 제품 작동에 사용되지도 않고 필수적이지도 않습니다. 상위 디렉터리는 NuGenesis의 정상적인 작동에 영향을 주지 않고 제거할 수 있습니다.
    • <Drive:>\oracle\product\12.2.0\Oracle12cR2\oui\jlib\jlib
      • Oracle Universal Installer는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)
    • <Drive:>\oracle\product\12.2.0\Oracle12cR2\sysman\jlib\ocm
      • 이러한 1.x Log4j 라이브러리 버전은 영향을 받지 않습니다. (Oracle 문서 ID 2830143.1)
• NuGenesis 8.x Oracle 데이터베이스(Oracle 11g)
  • NuGenesis 8.x의 기본 설치에는 Apache Log4j 라이브러리를 포함하는 Oracle 데이터베이스가 포함됩니다. 이러한 환경의 취약점 스캔은 Apache Log4j 라이브러리의 취약한 버전을 식별할 수 있습니다. 영향을 받는 Log4j 라이브러리는 다음 위치에 있습니다.
    • <Drive:>\oracle\product\11.2.0\SDMS\inventory\scripts\ext\jlib
      • 1.x Log4j 라이브러리 버전은 영향을 받지 않습니다. (Oracle 문서 ID 2830143.1)
    • <Drive:>\oracle\product\11.2.0\SDMS\ccr\lib
      • 1.x Log4j 라이브러리 버전은 영향을 받지 않습니다. (Oracle 문서 ID 2830143.1)
    • <Drive:>\oracle\product\11.2.0\SDMS\oui\jlib\jlib
      • Oracle Universal Installer는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)
    • <Drive:>\oracle\product\11.2.0\SDMS\sysman\jlib
      • 1.x Log4j 라이브러리 버전은 영향을 받지 않습니다. (Oracle 문서 ID 2830143.1)
    • <Drive:>\oracle\product\11.2.0\SDMS\sysman\jlib\ocm
      • 1.x Log4j 라이브러리 버전은 영향을 받지 않습니다. (Oracle 문서 ID 2830143.1)
• Analytical Workflow Manager (AWM) 2.0 
  • AWM 2.0의 기본 설치에는 1.x Apache Log4j 라이브러리가 Oracle 데이터베이스가 포함됩니다. 이러한 환경의 취약점 스캔은 Apache Log4j 라이브러리가 탐지될 수 있습니다. Log4j 라이브러리는 다음 위치에 있습니다.
    • <drive>:\app\oracle\product\12.1.0\dbhome_1\ccr 
      • 1.x Log4j 라이브러리 버전은 Log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)
    • <drive>:\app\oracle\product\12.1.0\dbhome_1\sysman
      • 1.x Log4j 라이브러리 버전은 Log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)
    • <drive>:\app\oracle\product\12.1.0\dbhome_1\sqldeveloper
      • 1.x Log4j 라이브러리 버전은 Log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)
    • <drive>:\app\oracle\product\12.1.0\dbhome_1\oui
      • Oracle Universal Installer는 log4j 취약점의 영향을 받지 않습니다. (Oracle Doc ID 2830143.1)
• Paradigm Scientific Search
  • Log4j 라이브러리는 Paradigm의 기본 설치에 존재하지 않습니다.

추가 정보