Jetzt anrufen E-Mail senden Standorte & Kontakt

Update 5 – Hochkritische Zero-Day-Schwachstelle Java-Bibliothek Log4j (CVE-2021-44228)

22. Dezember 2021

Wir haben durch unseren Partner merlin.zwo die kritische Log4j-Schwachstelle in ORACLE-Installationen analysieren lassen. Zum aktuellen Gefährdungsstand im Zusammenhang mit den typischen Datenbankinstallationen können wir, für die häufigsten Installationen zusammenfassend, mitteilen*:

(1) Nach aktuellem Stand nicht gefährdet sind:

– Die Datenbank selbst. Sie verwendet kein Log4j und ist daher nicht direkt gefährdet

– Weblogic-Server

– Forms-Server (basiert auf Weblogic)

– Apex-Installationen mit Tomcat / ORDS, sofern hier kein Log4j explizit aktiviert wurde. Bei den von uns installierten Systemen aktivieren wird dies nicht.

– Die Oracle Database Appliance (ODA)

(2) Patches werden aktuell erstellt für:

– Oracle Enterprise Manager

– Oracle Golden Gate Studio

– Oracle Spatial and Graph

(3) Patches sind verfügbar für:

– Oracle JDeveloper

– Oracle Reports Developer

– SQL Developer

– SQL Data Modeler

Indirekte Gefährdung der Datenbank:


Ein großes Gefährdungspotential sehen wir bei Webservern, die im Internet stehen und gleichzeitig Zugriff auf die Datenbank haben. Das wären z.B. Webshops, Kundeninformationssysteme oder auch Systeme, die z.B. über REST-Aufrufe auf die Datenbank zugreifen können. Sollte einer dieser Server “gekapert” werden, besteht die Möglichkeit, dass auf diesem Server Zugangsinformationen zur Datenbank ausgelesen werden können. Dadurch wäre dann die Datenbank unmittelbar gefährdet!


Wir haben normalerweise keinen Überblick darüber, welche weiteren Systeme auf Ihre Datenbank(en) Zugriff haben. Bitte überprüfen Sie daher alle Systeme mit Zugriffsmöglichkeiten auf Ihre Datenbank, ob diese gefährdet sind.


Die vollständige Liste der betroffenen Oracle-Produkte und der verfügbaren Patche finden Sie hier: https://www.oracle.com/security-alerts/alert-cve-2021-44228.html


Wir werden diesen Informationskanal zu Log4j hiermit schließen. Sollten Sie weitere Fragen haben oder technische Unterstützung benötigen, so wenden Sie sich gerne an unser Kundencenter.

* VIVAVIS übernimmt für die oben gemachten Angaben keine Gewähr. Die Angaben basieren auf den Informationen der OEM – Produkthersteller, obwohl diese nach bestem Wissen und Gewissen überprüft und validiert wurden, kann nicht ausgeschlossen werden, dass Sicherheitslücken anderweitig noch bestehen.

Ansprechpartner

Peter Schwark

RSS-Feed

Über unseren RSS-Feed erhalten Sie noch am selben Tag die Information, wenn ein neuer Artikel im IT-Security-Bulletin eingestellt wurde. Geben Sie dazu einfach folgenden Link in Ihrem Feed Reader ein: 

https://www.vivavis.com/category/it-security/feed/

Eine Anleitung, wie Sie den RSS-Feed im Outlook einbinden können, finden Sie hier.