Dec 17, 2021

Влияние уязвимостей Apache Log4j (Dec 2021) на IDM продукты Oracle (CVE-2021-44228, CVE-2021-45046)

Short intro: here you can find info, which from Oracle Identity & Access Management products have been affected by December 2021 Apache Log4j Vulnerabilities (CVE-2021-44228, CVE-2021-45046)…

Как многие из вас уже знают, 10 декабря были опубликованы критические уязвимости Apache Log4j (CVE-2021-44228, CVE-2021-45046), который являлся (и кое-где и сейчас является) компонентой во многих решениях Oracle. На My Oracle Support опубликован список продуктов, на которые повлияли эти уязвимости. Здесь мы разберем, какие из продуктов Oracle Enterprise Identity & Access Management были затронуты.


Исходный документ - My Oracle Support: Impact of December 2021 Apache Log4j Vulnerabilities on Oracle Products and Services (CVE-2021-44228, CVE-2021-45046) (Doc ID 2827611.1). Согласно этому документу, состояние следующее.

Oracle Identity Governance – затронут (из-за присутствия Log4j в общих библиотеках).

Oracle Identity Governance Connectors – затронуты коннекторы IBM RACF, CA Top Secret и ACF2, Oracle работает над патчами. CVE-2021-44228 - OIM Mainframe Connectors - IBM RACF, CA Top Secret And ACF2 (Doc ID 2828241.1).

Oracle Access Manager – затронут (из-за присутствия Log4j в общих библиотеках).

Oracle Unified Directory – затронут (из-за присутствия Log4j в общих библиотеках).

Требуется установить патч на Weblogic Server, который, в свою очередь, обновит oracle_common/modules/thirdparty, где располагаются библиотеки Log4j. Подробно здесь - Security Alert CVE-2021-44228 / CVE-2021-45046 Patch Availability Document for Oracle Fusion Middleware (Doc ID 2827793.1). Вывод – требуется установить патч на Weblogic Server.

Обращаю внимание, что для установки патча вы должны находиться на поддерживаемой версии (Premium или Extended Support).  


No comments:

Post a Comment