Aktuell wird in der Öffentlichkeit über eine erhebliche Sicherheitslücke disktutiert. Viele Oracle-Kunden fragen sich daher, ob sie von dieser Sicherheitslücke betroffen sind und was sie tun sollten, um diese ggf. zu schließen. Was ist passiert? Das Java-Framework Apache log4j wird von zahlreichen Produkten und Anwendungen zur Protokollierung von Benutzeraktivitäten eingesetzt. Es enthält einen Ersetzungsmechanismus, um bestimmte Variablen durch aktuelle Werte (z.B. Benutzer, Datum, etc.) zu ersetzen. Dies Ersetzungsmechanismus erlaubt allerdings auch den Aufruf von Java-Klassen über den Java Lookup-Standard JNDI. Damit ist es Benutzern ohne eine Authentifizierung möglich, Schadsoftware einzuschleusen und auszuführen. Betroffen sind die Versionen 2.0 bis 2.14.1 des Frameworks log4j. Wer ist davon betroffen ? Damit diese Lücke ausgenutzt werden kann, muss das Framework log4j aktiv genutzt werden und der betreffende Server einen Zugriff auf das Internet haben. Die Schwierigkeit besteht nun darin, dass das Framework log4j in zahlreiche Produkte und Anwendungen integriert ist. Anbieter komplexer Software-Pakete müssen daher zunächst einmal prüfen, ob das Logging-Framework eventuell von Komponenten genutzt wird, die in das Paket integriert sind. Welche Oracle Produkte sind betroffen ? Oracle veröffentlicht in der Support Note Apache Log4j Security Alert CVE-2021-44228 Products and Versions(2827611.1) den aktuellen Status und teilt die Produkte in 5 Kategorien ein: - Oracle products with patches or mitigation available
- Oracle products with patches pending
- Oracle products under investigation
- Oracle products with impacted underlying Oracle components
- Oracle products not requiring patches
Der Inhalt der Note ändert sich kontinuierlich.
Allerdings sind hier, die bereits im vorigen Punkt angesprochenen Abhängigkeiten zu beachten.
So gehört z.B. die Oracle Datenbank zu den Produkten, die keinen Patch benötigen. Hat der Kunde aber Oracle Spatial als Option der Datenbank im Einsatz, wäre er gefährdet. Auch der SQL Developer gehört zu den betroffenen Produkten und ist häufig ein Teil der Datenbank-Installation.
Was kann man tun ? Zunächst ist es sicher sinnvoll zu analysieren, wo überall das Framework log4j eingesetzt wird. Dabei sollte man beachten, dass eine Suche nach log4j.jar im Filesystem nicht ausreicht, da die Datei auch in war- bzw. anderen Archiven verpackt sein kann. So erhält man zunächst einen Überblick über potenzielle Sicherheitslücken auf dem eigenen System. Ab der Version 2.10 des Frameworks log4j kann durch die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS der Lookup-Mechanismus blockiert werden. Wichtig hier ist zu entscheiden, wo und auf welcher Ebene diese Umgebungsvariable gesetzt werden sollte. Eine weitere Möglichkeit würde darin bestehen, die für den JNDI Lookup benötigten Klassen auf dem System zu löschen. Allerdings besteht hier die Gefahr, dass diese Klassen durch Patches und Updates wieder auf dem System angelegt werden. Die Liste der von Oracle bereitgestellten Patches (1. Kategorie der Support Note 2827611.1) ändert sich täglich. Daher kann es vielleicht sinnvoll sein, zunächst mögliche Lookups zu blockieren und erst zu einem späteren Zeitpunkt das Patch Bundle (CPU) von Oracle einzuspielen. Wo kann man sich informieren ?
Neben der erwähnten Support Note 2827611.1 findet man zahlreiche Informationen im Internet.
Spezielle Informationen zur Oracle Fusion Middleware findet man in der Support Note Security Alert CVE-2021-44228 Patch Availability Document for Oracle Fusion Middleware (Doc ID 2827793.1).
Diese Informationen sollen Ihnen helfen, sich in der aktuelle Situation zu orientieren und die geeigneten Maßnahmen zum Schutz der eigenen Systeme zu treffen.
Wenn Sie dabei Unterstützung benötigen, stehen wir Ihnen gerne als Ansprechpartner zur Verfügung.