Log4J漏洞

izkcnapc  于 2022-11-06  发布在  其他
关注(0)|答案(1)|浏览(258)

我被要求检查我们的数据库是否存在log4j漏洞。网络上的信息有点混乱,但我的理解是,如果您有Log4j.jarlog4j.bin,您需要修复这些问题,而不仅仅是Apache。因此,我在我的数据库上进行了搜索,发现:

/u01/app/oracle/product/19.0.0/dbhome_1/suptools/tfa/release/tfa_home/jlib/log4j-core-2.9.1.jar
/u01/app/oracle/product/19.0.0/dbhome_1/md/property_graph/lib/log4j-core-2.11.0.jar

所以我的问题是这些漏洞是吗?修复这些漏洞的最好方法是什么?
谢谢你

h6my8fg2

h6my8fg21#

从我的研究中,我发现了下面的帖子,它回答了我的问题。它在www.example.com上community.oracle.com/tech/developers所以我会认为它是福音。
这些文件存在是因为Oracle将它们作为库的一部分。这并不意味着Oracle正在使用它们。Log4j仅在使用/运行时易受攻击。由于Oracle DB不使用它,因此该漏洞不可利用,将这些文件留在服务器中是安全的。
到目前为止,Oracle也不建议删除这些jar文件。

相关问题