Pular para o conteúdo

E-Business Suite e o Log4j – Vulnerabilidade day zero (CVE-2021-44228)

E-Business Suite e o Log4j

Olá camarada !

Aqui estou de volta para falar sobre a saga da vulnerabilidade CVE-2021-44228 no Log4j. Dessa vez irei falar sobre o E-Business Suite.

A maioria das versões não são afetadas pela vulnerabilidade, devido ao fato de não utilizarem o Log4j. Só que há um porém !

Se você tiver acesso ao metalink (Oracle Support), dê uma olhada no DOC abaixo:

  • CVE-2021-44228 Advisory for Oracle E-Business Suite (Apache log4j Vulnerabilities) (Doc ID 2827804.1)

Esse documento explica que as instalações que possuem o Oracle Applications Technology Stack na versão R12.TXK.C.Delta.12 ou superior, estão vulneráveis pois incluem o Log4j na versão 2.11.1.

Para saber qual a versão do Oracle Applications Technology Stack está instalada, basta executar a query abaixo:

SELECT a.abbreviation
      ,a.name
      ,a.codelevel 
FROM  ad_trackable_entities a 
WHERE a.abbreviation IN ('txk');

Você deverá obter um resultado como:

ABBREVIATION                   NAME                                                                                                 CODELEVEL                                                                                                                                             
------------------------------ ---------------------------------------------------------------------------------------------------- ------------------------------------------------------------------------------------------------------------------------------------------------------
txk                            Oracle Applications Technology Stack                                                                 C.11                                               

No caso acima, não há vulnerabilidade pois essa versão não utiliza o Log4j. Pois o resultado do codelevel foi C.11 (R12.TXK.C.Delta.11).

Caso o resultado do codelevel seja C.12 (R12.TXK.C.Delta.12) ou C.13 (R12.TXK.C.Delta.13), o seu ambiente “poderá” estar suscetível a vulnerabilidade.

Eu enfatizei o “poderá”, pois a Oracle ainda solicita um último teste para confirmação. Solicitando que se rode o comando:

ls -l $COMMON_TOP/java/lib/log4j_core.jar

Caso o arquivo seja encontrado, então está CONFIRMADA A VULNERABILIDADE ! Aí é só seguir o workaround descrito na documentação e mitigar o problema !

Espero ter ajudado !

Fonte

Quão útil foi este post ?

Clique em uma estrela para classificar o post

nota média 5 / 5. Contagem de votos: 15

Sem votos ! Seja o primeiro a classificar !

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

plugins premium WordPress