メインコンテンツへスキップ
Waters Employee Login
Waters Japan

log4j の Apache「Log4Shell」の脆弱性は NuGenesis に影響しますか? - WKB224434

  1. 最後の更新
  2. PDFとして保存
Article number: 224434To English version

環境

  • NuGenesis 9
    • Oracle 19c/NuGenesis 9.1、9.2、9.3
    • Oracle 12c/NuGenesis 9.0
    • JasperSoft Studio v5、v6
  • NuGenesis 8
    • Oracle 11gR2
  • Log4Shell(Log4j バージョン 2)
    • CVE-2021-44228
    • CVE-2021-45046
    • CVE-2021-45105
  • Log4Shell(Log4j バージョン 1 および 2)
    • CVE-2021-4104

回答

Waters は、標準の NuGenesis 展開に含まれている NuGenesis および Analytical Workflow Manager (AWM) アプリケーションバイナリーおよびサードパーティ製ソフトウェアコードの評価を実行しました。これらの環境の脆弱性スキャンにより、Apache Log4j ライブラリーの存在が特定されることがあります。Log4j ライブラリーのバージョン 1.x インスタンスは、影響を受けていないものとして Apache によって示され (https://logging.apache.org/log4j/2.x/security.html)、NuGenesis ソフトウェアの特定のコンポーネントに存在します。

Waters は、サポートされているすべてのバージョンの NuGenesis および Analytical Workflow Manager (AWM) をテストしており、影響を受ける Log4j ライブラリーを含むディレクトリーが、Waters 提供のメディアを使用して、安全に検査および削除できることを確認しました。zip または同等のユーティリティを使用して影響を受けるディレクトリーをアーカイブすることによる検査は、元に戻すことができ、エラーが発生しにくくなるため、削除よりも推奨されます。

:NuGenesis システムおよび以下に示されているパス以外のファイルで Log4j の脆弱性が検出された場合、そのファイルは NuGenesis によって使用されません。ファイルを削除しても、NuGenesis に影響しません。ただし、これらのファイルに関連するソフトウェアパッケージの機能には影響することがあります。

  • NuGenesis 8 および 9 SDMS アプリケーション
    • コア SDMS アプリケーションは Log4j v2 ライブラリーを使用しません
    • NuGenesis 9.x および NuGenesis 8 SDMS 用のすべてのデータアダプターリリースに含まれている SDMS 装置エージェントには、以下の Log4j v1.2.8 ライブラリーが含まれています。
      • ドライブ:\Program Files\Waters\SDMSInstrumentAgents\lib\org
    • 装置エージェントはデータアダプターのオプション機能であり、一部のシステムでしか必要になるわけではありません。エージェントの既定のログ設定は JMSAppender クラスを使用しないため、影響を受けません。(Apache セキュリティアラートを参照してください:https://logging.apache.org/log4j/2.x/security.html
  • NuGenesis 8 および 9 LMS アプリケーション
    • NuGenesis LMS は、以下の場所にある LMS サーバー上の Log4j ライブラリーを使用します。
      • NuGenesis 8 LMS サーバー:
        • ドライブ:\WatersLMSServer\lib\org
        • ドライブ:\WatersLMSServer\Jboss-6.0.0.Final\client
        • ドライブ:\WatersLMSServer\Jboss-6.0.0.Final\common\lib
        • Jboss ログマネージャの既定のログ設定は、JMSAppender クラスを使用しないため、影響を受けません(Apache セキュリティアラートを参照してください:https://logging.apache.org/log4j/2.x/security.html
      • NuGenesis 9.x LMS サーバー:
        • ドライブ:\WatersLMSServer\Wildfly-11.0.0.Final\modules\system\layers\base\org\jboss\log4j\logmanager\main - すべてのインストールに存在します
        • ドライブ\WatersLMSServer\SAPInterface\actback\lib3rd\wildfly - LMS-SAP インターフェースがインストールされている場合にのみ存在します
        • ドライブ:\WatersLMSServer\Workflow\actback\lib3rd\wildfly - NuGenesis Connectors サーバーがインストールされている場合にのみ存在します
        • 使用されている Log4j バージョン (1.1.4) は、Log4j V2 の脆弱性の影響を受けません(Apache セキュリティアラートを参照してください:https://logging.apache.org/log4j/2.x/security.html
      • JasperSoftStudio:
  • NuGenesis 9.1、9.2 Oracle データベース (Oracle 19c)
    • Windows に NuGenesis 9.1 および 9.2 Oracle データベースのインストールには、以下の場所に Log4j ライブラリーがあります
      • ドライブ:\oracle\product\19.6.0\Oracle19c\suptools\tfa
        • これは、Oracle データベースソフトウェアにバンドルされている Oracle Trace File Analyzer 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは NuGenesis 製品およびディレクトリーで使用されておらず、NuGenesis の通常の操作に影響することなく削除できます。
      • ドライブ:\oracle\product\19.6.0\Oracle19c\md
        • これは、Oracle データベースソフトウェアにバンドルされている Oracle Spatial 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは NuGenesis 製品およびディレクトリーで使用されておらず、NuGenesis の通常の操作に影響することなく削除できます。
  • NuGenesis 9.0 Oracle データベース (Oracle 12c)
    • Windows に NuGenesis 9.1 および 9.2 Oracle データベースのインストールには、以下の場所に Log4j ライブラリーがあります。
      • <ドライブ:>\oracle\product\12.2.0\Oracle12cR2\ccr\lib
        • これらのバージョン 1.x Log4j ライブラリーは影響を受けません。(Oracle ドキュメント ID 2830143.1)
      • <ドライブ:>\oracle\product\12.2.0\Oracle12cR2\sqldeveloper\sqldeveloper\lib
        • 影響を受ける Log4j ライブラリーは存在しますが、SQL Developer によって使用されません。(Oracle ドキュメント ID 2828123.1)SQL Developer は NuGenesis 製品の操作に使用されておらず、必須でもありません。親ディレクトリーは、NuGenesis の通常の操作に影響することなく削除できます
      • <ドライブ:>\oracle\product\12.2.0\Oracle12cR2\oui\jlib\jlib
        • Oracle Universal インストーラーは Log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)
      • <ドライブ:>\oracle\product\12.2.0\Oracle12cR2\sysman\jlib\ocm
        • これらのバージョン 1.x Log4j ライブラリーは影響を受けません。(Oracle ドキュメント ID 2830143.1)
  • NuGenesis 8.x Oracle データベース (Oracle 11g)
    • NuGenesis 8.x の既定のインストールには、Apache Log4j ライブラを含む Oracle データベースのインストールが含まれています。これらの環境の脆弱性スキャンにより、Apache Log4j ライブラリーの影響を受けるバージョンが特定されることがあります。影響を受ける Log4j ライブラリーは以下の場所にあります:
      • <ドライブ:>\oracle\product\11.2.0\SDMS\inventory\scripts\ext\jlib
        • バージョン 1.x Log4j ライブラリーは影響を受けません。(Oracle ドキュメント ID 2830143.1)
      • <ドライブ:>\oracle\product\11.2.0\SDMS\ccr\lib
        • バージョン 1.x Log4j ライブラリーは影響を受けません。(Oracle ドキュメント ID 2830143.1)
      • <ドライブ:>\oracle\product\11.2.0\SDMS\oui\jlib\jlib
        • Oracle Universal インストーラーは Log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)
      • <ドライブ:>\oracle\product\11.2.0\SDMS\sysman\jlib
        • バージョン 1.x Log4j ライブラリーは影響を受けません。(Oracle ドキュメント ID 2830143.1)
      • <ドライブ:>\oracle\product\11.2.0\SDMS\sysman\jlib\ocm
        • バージョン 1.x Log4j ライブラリーは影響を受けません。(Oracle ドキュメント ID 2830143.1)
  • Analytical Workflow Manager (AWM) 2.0
    • AWM 2.0 の既定のインストールには、1.x Apache Log4j ライブラリーを含む Oracle データベースのインストールが含まれています。これらの環境の脆弱性スキャンにより、Apache Log4j ライブラリーの影響を受けるバージョンが特定されることがあります。Log4j ライブラリーは以下の場所にあります:
      • <ドライブ>:\app\oracle\product\12.1.0\dbhome_1\ccr
        • バージョン 1.x Log4j ライブラリーは、Log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)
      • <ドライブ>:\app\oracle\product\12.1.0\dbhome_1\sysman
        • バージョン 1.x Log4j ライブラリーは、Log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)
      • <ドライブ>:\app\oracle\product\12.1.0\dbhome_1\sqldeveloper
        • バージョン 1.x Log4j ライブラリーは、Log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)
      • <ドライブ>:\app\oracle\product\12.1.0\dbhome_1\oui
        • Oracle Universal インストーラーは Log4j の脆弱性の影響を受けません。(Oracle ドキュメント ID 2830143.1)
  • Paradigm Scientific Search
    • Log4j ライブラリーは Paradigm の既定のインストールに存在しません

追加情報

 

id224434, ELN, library, NGLMS, NGLMSLIC, NGLMSOPT, SDMS, SDMS8, SDMS8NU, SUPISDMS, SUPNG, レビュー