メインコンテンツまでスキップ
Waters Employee Login
Waters Japan

Log4Shell (log4j) の脆弱性は Empower に影響しますか? - WKB224539

  1. 最後の更新
  2. PDFとして保存
Article number: 224539To English version

環境

  • Empower3.7
  • Empower 3.6.1
  • Empower 3.6.0
  • Empower 3 FR5(後続のサービスリリースおよびホットフィックスを含む)
  • Empower 3 FR4(その後のサービスリリースおよびホットフィックスを含む)
  • Empower 3 FR3(その後のサービスリリースおよびホットフィックスを含む)
  • Empower 3 FR2(その後のサービスリリースおよびホットフィックスを含む)
  • Empower QS
  • Empower QSN
  • Log4Shell
  • Log4j
  • CVE-2021-44228
  • CVE-2021-45046

回答

Apache Log4j の脆弱性更新、2022 年 2 月 3 日

Waters は、「ゼロデイ」の脆弱性 (CVE-2021-44228) を認識しています。これは、2021 年 12 月 9 日にセキュリティ研究者によって報告され、一般的なソフトウェアパッケージ (Apache log4j) に影響を与えます。log4j は Web アプリケーションおよびクラウドサービスプロバイダーにわたって広く使用されているため、この脆弱性が発生する完全な範囲は複雑であり、その影響はまだ特定されていません。Waters の製品およびエンジニアチームは、Waters のソフトウェア製品に生じる可能性のある影響について、この問題を調査しています。Waters は結果に関する最新情報を提供し、関連情報および/または手順をお客様に通知します。

Waters Empower クロマトグラフィーデータシステム

Waters は、Empower の標準展開に含まれる Empower クロマトグラフィーデータシステム (CDS) アプリケーションバイナリーおよびサードパーティ製ソフトウェアコードの評価を実行しました。Waters の現在の調査結果は以下に記載されています。その他の更新については、引き続きこのページを確認してください。

  • Waters Empower CDS のすべてのバージョンについては、Empower アプリケーションのコードベースは Java 上に構築されておらず、Apache log4j ライブラリーを使用しません。
  • Empower パーソナル、Empower ワークグループ、Empower エンタープライズには、Apache log4j ライブラリーを含む Oracle データベースのインストールで提供されています(詳細は以下を参照)。ただし、Waters がサポートする Empower CDS の既定の実装は、通常のアプリケーション機能において log4j ライブラリーに依存したり使用したりしません。
  • Waters は、サポートされているすべてのバージョンの Empower をテストしており、Oracle のインストールによって展開され、影響を受ける Log4j ライブラリーを含むディレクトリーが、Waters 提供のメディアを使用して、安全に検査および削除できることを確認しました。zip または同等のユーティリティを使用して影響を受けるディレクトリーをアーカイブすることによる検査は、元に戻すことができ、エラーが発生しにくくなるため、削除よりも推奨されます。

 

  • Empower 3.6.x
  • Empower パーソナル、Empower ワークグループ、Empower エンタープライズバージョン 3.6.x の既定のインストールには、Apache log4j ライブラリーを含む Oracle データベースのインストールが含まれています。これらの環境の脆弱性スキャンにより、Apache log4j ライブラリーの影響を受けるバージョンが特定されることがあります。影響を受ける log4j ライブラリーは以下の場所にあります:

\Empower\Oracle\Oracle19c\md\property_graph\lib
これは、Oracle データベースソフトウェアにバンドルされている Oracle Spatial 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、この検査コンポーネントは Empower CDS 製品で使用されていません。親ディレクトリー \Empower\Oracle\Oracle19c\md は、Empower の通常の操作に影響することなく、安全に検査または削除できます。

\Empower\Oracle\Oracle19c\sqldeveloper\sqldeveloper\lib
影響を受ける log4j ライブラリーは存在しますが、SQL Developer によって使用されません。(Oracle ドキュメント ID 2828123.1)SQL Developer は Empower 製品の操作に使用されておらず、必須でもありません。親ディレクトリー \Empower\Oracle\Oracle19c\sqldeveloper は、Empower の通常の操作に影響することなく、安全に検査または削除できます。

\Empower\Oracle\Oracle19c\suptools\tfa\release\tfa_home\jlib
これは、Oracle データベースソフトウェアにバンドルされている Oracle Trace File Analyzer 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Empower CDS 製品で使用されていません。親ディレクトリー \Empower\Oracle\Oracle19c\suptools\tfa は、Empower の通常の操作に影響することなく、安全に検査または削除できます。

  • Empower クライアントまたは Empower LAC/E バージョン 3.6.x の既定のインストールには、Apache Log4j ライブラリーが含まれておらず、Log4j の脆弱性の影響を受けません。

 

  • Empower 3 FR5
  • Empower 3 FR5 に基づく Empower パーソナル、Empower ワークグループ、Empower エンタープライズの既定のインストールには、Apache log4j ライブラリーを含む Oracle データベースのインストールが含まれています。これらの環境の脆弱性スキャンにより、Apache log4j ライブラリーの影響を受けるバージョンが特定されることがあります。影響を受ける log4j ライブラリーは以下の場所にあります:

\Empower\Oracle\Oracle18c\md\jlib
これは、Oracle データベースソフトウェアにバンドルされている Oracle Spatial 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Empower CDS 製品で使用されていません。親ディレクトリー \Empower\Oracle\Oracle18c\md は、Empower の通常の操作に影響することなく、安全に検査または削除できます。

\Empower\Oracle\Oracle18c\md\property_graph\lib
これは、Oracle データベースソフトウェアにバンドルされている Oracle Spatial 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Empower CDS 製品で使用されていません。親ディレクトリー \Empower\Oracle\Oracle18c\md は、Empower の通常の操作に影響することなく、安全に検査または削除できます。

\Empower\Oracle\Oracle18c\sqldeveloper\sqldeveloper\lib
影響を受ける log4j ライブラリーは存在しますが、SQL Developer によって使用されません。(Oracle ドキュメント ID 2828123.1)SQL Developer は Empower 製品の操作に使用されておらず、必須でもありません。親ディレクトリー \Empower\Oracle\Oracle18c\sqldeveloper は、Empower の通常の操作に影響することなく、安全に検査または削除できます。

\Empower\Oracle\Oracle18c\sqldeveloper\sqldeveloper\extensions\oracle.sqldeveloper.onsd\lib
影響を受ける log4j ライブラリーは存在しますが、SQL Developer によって使用されません。(Oracle ドキュメント ID 2828123.1)SQL Developer は Empower 製品の操作に使用されておらず、必須でもありません。親ディレクトリー \Empower\Oracle\Oracle18c\sqldeveloper は、Empower の通常の操作に影響することなく、安全に検査または削除できます。

\Empower\Oracle\Oracle18c\oui\jlib
Oracle Universal Installer は log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

  • Empower 3 FR5 に基づく Empower クライアントまたは Empower LAC/E バージョンの既定のインストールには、Apache Log4j ライブラリーが含まれておらず、log4j の脆弱性の影響を受けません。

 

  • Empower 3 FR4
  • Empower 3 FR4 に基づく Empower パーソナル、Empower ワークグループ、Empower エンタープライズの既定のインストールには、Apache log4j ライブラリーを含む Oracle データベースのインストールが含まれています。これらの環境の脆弱性スキャンにより、Apache log4j ライブラリーの影響を受けるバージョンが特定されることがあります。影響を受ける Log4j ライブラリーは以下の場所にあります:

\Empower\Oracle\Oracle12c\ccr\lib
バージョン1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle12c\oc4j\ant\lib
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle12c\sysman\jlib\ocm
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle12c\sqldeveloper\sqldeveloper\lib
影響を受ける log4j ライブラリーは存在しますが、SQL Developer によって使用されません。(Oracle ドキュメント ID 2828123.1)SQL Developer は Empower 製品の操作に使用されておらず、必須でもありません。親ディレクトリー \Empower\Oracle\Oracle12c\sqldeveloper は、Empower の通常の操作に影響することなく、安全に検査または削除できます。

\Empower\Oracle\Oracle12c\oui\jlib\jlib
Oracle Universal Installer は log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

  • Empower 3 FR4 に基づく Empower クライアントまたは Empower LAC/E バージョンの既定のインストールには、以下の場所にある Apache log4j ライブラリーが含まれています。

\Empower\Oracle\Oracle12cClient\oui\jlib\jlib
Oracle Universal Installer は log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

  • Empower 3 FR3
  • Empower 3 FR3 に基づく Empower パーソナル、Empower ワークグループ、Empower エンタープライズの既定のインストールには、Apache log4j ライブラリーを含む Oracle データベースのインストールが含まれています。これらの環境の脆弱性スキャンにより、Apache log4j ライブラリーの影響を受けるバージョンが特定されることがあります。Apache log4j ライブラリーは以下の場所にあります:

\Empower\Oracle\Oracle11g_4\ccr\lib
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle11g_4\oc4j\ant\lib
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle11g_4\sysman\jlib
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle11g_4\sysman\jlib\ocm
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle11g_4\oui\jlib\jlib
Oracle Universal Installer は log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

  • Empower 3 FR3 に基づく Empower クライアントまたは Empower LAC/E バージョンの既定のインストールには、Apache log4j ライブラリーが含まれています。Apache log4j ライブラリーは以下の場所にあります:

\Empower\Oracle\Oracle11gClient_4\oui\jlib\jlib
Oracle Universal Installer は log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle11gClient_4\sysman\jlib
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

 

  • Empower 3 FR2
  • Empower 3 FR2 に基づく Empower パーソナル、Empower ワークグループ、Empower エンタープライズの既定のインストールには、Apache log4j ライブラリーを含む Oracle データベースのインストールが含まれています。これらの環境の脆弱性スキャンにより、Apache log4j ライブラリーの影響を受けるバージョンが特定されることがあります。影響を受ける log4j ライブラリーは以下の場所にあります:

\Empower\Oracle\Oracle11g_2\sysman\jlib\ocm
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle11g_2\sysman\jlib
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle11g_2\oui\jlib\jlib
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle11g_2\oc4\ant\lib
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle11g_2\ccr\lib
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle11g_2\inventory\scripts\ext\jlib
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

  • Empower 3 FR2 に基づく Empower クライアントまたは Empower LAC/E バージョンの既定のインストールには、Apache log4j ライブラリーが含まれています。これらの環境の脆弱性スキャンにより、Apache log4j ライブラリーの影響を受けるバージョンが特定されることがあります。Apache log4j ライブラリーは以下の場所にあります:

\Empower\Oracle\Oracle11gClient_2\sysman\jlib
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle11gClient_2\oui\jlib\jlib
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle11gClient_2\OPatch\ocm\lib
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

\Empower\Oracle\Oracle11gClient_2\ccr\lib
バージョン 1.x log4j ライブラリーは、log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)

 

  • Waters は、多くの場合 Empower と組み合わせて使用される以下の製品に対して、log4j の脆弱性が与える可能性のある影響を評価しています。

サンプルセットジェネレーター

Empower インベントリービューアー

Sample Weight Importer

Waters Data Converter v2.1

Waters Data Converter V3.2

SecureSync v1.0

Waters 装置ドライバー

Waters ICF サポートレイヤー

Agilent 装置コントロールフレームワークおよび関連ドライバーは、log4j ライブラリーの存在についてスキャンされました。何も見つかりませんでした。

追加情報

Waters 提供の Oracle データベースソフトウェアを利用していない Empower データベースのインストールの場合、特定の環境内でのこの脆弱性の評価については、適切なベンダーにお問い合わせください。

 

id224539, 7890ヘッドスペース サンプルセット, EMP2LIC, EMP2OPT, EMP2SW, EMP3GC, EMP3LIC, EMP3OPT, EMP3SW, EMPGC, EMPGPC, EMPLIC, EMPOWER2, EMPOWER3, EMPSW, Enterprise, library, sample set, SUP, アジレント, インポート