Oracle e o Log4j – Vulnerabilidade day zero (CVE-2021-44228)
Olá camaradas !
Creio que muitos devem ter ouvido nos últimos dias sobre uma vulnerabilidade day zero que está afetando o Log4J. Classificada como CVE-2021-44228, é uma vulnerabilidade do tipo Remote Code Execution (RCE). Caso alguém consiga explorar essa falha, essa pessoa teria como executar código arbitrário e assumir o controle inclusive dos servidores.
Mas aí você se pergunta: “Tá, eu não uso Java e nem essa biblioteca. Qual o problema ?“
Então começarei explicando sobre o que é o Log4J. Para quem não conhece, o Log4j é uma biblioteca para implementação de logs (falando a grosso modo) muito utilizada pelo mercado. E quando digo muito utilizado, me refiro também a aplicações de empresas como a Oracle, Microsoft, etc….
Como trabalho atualmente com tecnologia Oracle, posso citar diversos produtos que utilizam o Log4j, como o Banco de dados Oracle, SQL Developer, E-Business Suite, JDeveloper, Weblogics, entre outros.
Se você possui acesso ao metalink, sugiro que dê uma olhada no documento abaixo:
- Apache Log4j Security Alert CVE-2021-44228 Products and Versions (Doc ID 2827611.1)
Esse documento relaciona todos os produtos afetados, e os que não requerem, possuem ou necessitam de patch de correção.
Já foi disponibilizada uma atualização para o SQL Developer. Se você o utiliza, CLIQUE AQUI e faça o download !
Fica a dica !
Fonte