Log4J漏洞
Log4J vulnerability
我被要求检查我们的数据库是否存在 log4j 漏洞。网络上的信息有点混乱,但据我了解,如果您有 Log4j.jar 或 log4j.bin,则需要修复这些问题,而不仅仅是 Apache。所以我在我的数据库上进行了搜索,发现:
/u01/app/oracle/product/19.0.0/dbhome_1/suptools/tfa/release/tfa_home/jlib/log4j-core-2.9.1.jar
/u01/app/oracle/product/19.0.0/dbhome_1/md/property_graph/lib/log4j-core-2.11.0.jar
所以我的问题是这些漏洞是什么?解决这些问题的最佳方法是什么?
谢谢
根据我的研究,我发现以下 post 回答了我的问题。它是在 community.oracle.com/tech/developers 所以我会认为它是福音。
文件在那里是因为 Oracle 将它们作为库的一部分。这并不意味着 Oracle 正在使用它们。 Log4j 仅在 used/while 运行 时易受攻击。由于 Oracle DB 不使用它,因此该漏洞不可利用,将这些文件留在服务器中是安全的。
到目前为止,Oracle 也不建议删除这些 jar 文件。
我被要求检查我们的数据库是否存在 log4j 漏洞。网络上的信息有点混乱,但据我了解,如果您有 Log4j.jar 或 log4j.bin,则需要修复这些问题,而不仅仅是 Apache。所以我在我的数据库上进行了搜索,发现:
/u01/app/oracle/product/19.0.0/dbhome_1/suptools/tfa/release/tfa_home/jlib/log4j-core-2.9.1.jar
/u01/app/oracle/product/19.0.0/dbhome_1/md/property_graph/lib/log4j-core-2.11.0.jar
所以我的问题是这些漏洞是什么?解决这些问题的最佳方法是什么?
谢谢
根据我的研究,我发现以下 post 回答了我的问题。它是在 community.oracle.com/tech/developers 所以我会认为它是福音。
文件在那里是因为 Oracle 将它们作为库的一部分。这并不意味着 Oracle 正在使用它们。 Log4j 仅在 used/while 运行 时易受攻击。由于 Oracle DB 不使用它,因此该漏洞不可利用,将这些文件留在服务器中是安全的。
到目前为止,Oracle 也不建议删除这些 jar 文件。