메인 콘텐츠로 건너뛰기
Waters Employee Login
Waters Korea

EDS365 소프트웨어가 Log4j 취약점의 영향을 받습니까? - WKB224722

  1. 마지막 업데이트
  2. PDF로 저장
Article number: 224722To English version

환경

  • EDS365 Service Release 6, 구체적으로는 Hotfix 1
  • EDS365 Service Release 5
  • Log4Shell
  • Log4j
  • CVE-2021-44228

답변

Apache Log4j 취약점 업데이트 2022년 2월 3일

Waters는 2021년 12월 9일에 보안 연구원에 의해 발표된 "zero day" 취약점(CVE-2021-44228)에 대해 인식하고 있으며, 이는 일반 소프트웨어 패키지(Apache log4j)에 영향을 미칩니다. log4j는 웹 응용 프로그램과 클라우드 서비스 제공 업체에서 널리 사용되기 때문에 이 취약점의 전체 범위는 복잡하며 그 영향은 아직 결정 중입니다. Waters 제품 및 엔지니어링 팀에서 이 문제를 계속 조사하고 있습니다. Waters는 필요에 따라 고객에게 log4j 취약점에 대한 업데이트를 제공하고 평가가 완료되면 고객에게 알릴 것입니다.

초기 조사의 일환으로 다음 Waters 소프트웨어에서 log4j*.jar 파일이 존재하는지 분석했습니다.

  • EDS365 Service Release 6, 구체적으로는 Hotfix 1
  • EDS365 Service Release 5

 

  • Waters EDS365 Service Release 6:
    Log4j 라이브러리 인스턴스는 이 서비스 릴리스에 통합된 다음 구성 요소에서 발견되었습니다.

Oracle Business Intelligent v12.2.1.2 - Oracle 문서 2828642.1은 취약점 패치가 이 구성 요소의 이후 릴리스에만 관련됨을 나타냅니다. 이 버전의 log4j는 Apache에서 가장 최근에 발행된 보안 경고에 취약하지 않은 것으로 나열됩니다(https://logging.apache.org/log4j/2.x/security.html).

Oracle Data Integrator v11.1.1.6 - Oracle 문서 2827929.1은 이 버전(11g)을 취약점의 영향을 받지 않는 것으로 나열합니다.

Oracle SQL Developer v19.2.1 - Oracle 문서 2828123.1에 따르면 이 버전에는 영향을 받는 log4j 라이브러리가 포함되어 있지만 SQL Developer에는 사용되지 않습니다. 이 구성 요소는 EDS365 소프트웨어의 작동에 이용되거나 필수 요소가 아닙니다. 다음 디렉터리는 EDS365의 정상적인 작동에 영향을 주지 않고 안전하게 검역되거나 제거될 수 있습니다.

<drive>:\app\oracle\product\19.3.0\dbhome_1\sqldeveloper

<drive>:\EDS365_SR6\EDS365_SR6\Software\WINDOWS.X64_193000_db_home\sqldeveloper

Oracle Spatial 및 Trace File Analyzer – Oracle 문서 2830143.1에는 Oracle 데이터베이스 제품과 함께 번들로 제공되는 구성 요소의 취약점을 해결하기 위해 사용 가능한 패치가 나와 있습니다. 그러나 이러한 구성 요소는 EDS365 소프트웨어의 작동에 이용되거나 필수 요소가 아닙니다. 다음 디렉터리는 EDS365의 정상적인 작동에 영향을 주지 않고 안전하게 검역되거나 제거될 수 있습니다.

<drive>:\app\oracle\product\19.3.0\dbhome_1\md

<drive>:\EDS365_SR6\EDS365_SR6\Software\WINDOWS.X64_193000_db_home\md

<drive>:\app\oracle\product\19.3.0\dbhome_1\suptools\tfa

<drive>:\EDS365_SR6\EDS365_SR6\Software\WINDOWS.X64_193000_db_home\suptools\tfa

  • Waters EDS365 Service Releases 5:
    Log4j 라이브러리 인스턴스는 이 서비스 릴리스에 통합된 다음 구성 요소에서 발견되었습니다.

Oracle Business Intelligent v12.2.1.2 - Oracle 문서 2828642.1은 취약점 패치가 이 구성 요소의 이후 릴리스에만 관련됨을 나타냅니다. 이 버전의 log4j는 Apache에서 가장 최근에 발행된 보안 경고에 취약하지 않은 것으로 나열됩니다(https://logging.apache.org/log4j/2.x/security.html).

Oracle Data Integrator v11.1.1 - Oracle 문서 2827929.1은 이 버전(11g)을 취약점의 영향을 받지 않는 것으로 나열합니다.

Oracle SQL Developer v3.2.10 - 이 구성 요소에는 Apache의 보안 경보에 나열되지 않은 log4j v1.2.13이 포함되어 있습니다. Log4J-core-1.2.13.jar에는 보고된 취약점과 관련된 JMSAppender.class 파일이 없습니다. 이 구성 요소는 EDS365 소프트웨어의 작동에 이용되거나 필수 요소가 아닙니다. 다음 디렉터리는 EDS365의 정상적인 작동에 영향을 주지 않고 안전하게 검역되거나 제거될 수 있습니다.

<drive>:\SQLDeveloper

Oracle Spatial – Oracle 문서 2830143.1은 Oracle 데이터베이스 제품과 함께 번들로 제공되는 이 구성 요소의 취약점을 해결하기 위해 사용 가능한 패치를 나열합니다. 그러나 이 구성 요소는 EDS365 소프트웨어의 작동에 이용되거나 필수 요소가 아닙니다. 다음 디렉터리는 EDS365의 정상적인 작동에 영향을 주지 않고 안전하게 검역되거나 제거될 수 있습니다.

<drive>:\app\oracle\product\12.2.0\dbhome_1\md

추가 정보

 

id224722, WLA