log4j の Apache「Log4Shell」の脆弱性は waters_connect/UNIFI のリリースに影響しますか？ - WKB224535

Apache Log4j の脆弱性更新、2022 年 10 月 17 日

Waters は、2021 年 12 月 9 日にセキュリティ研究者によって報告され、一般的なソフトウェアパッケージ (Apache Log4J) に影響を与える「ゼロディ」の脆弱性 (CVE-2021-44228) を認識しています。

 

waters_connect/UNIFI ソフトウェア

Waters は、すべてのワークステーションおよびネットワーク展開に含まれる waters_connect/UNIFI アプリケーションバイナリーおよびサードパーティ製ソフトウェアコードの評価を実行しました。Waters の現在の調査結果は以下に記載されています。その他の更新については、引き続きこのページを確認してください（最終更新日は 2022 年 2 月 2 日）。

Waters UNIFI および waters_connect/UNIFI のすべてのバージョンについては、アプリケーションのコードベースは Java 上に構築されておらず、Apache Log4j ライブラリーを使用しません。

UNIFI および waters_connect/UNIFI ワークステーションおよびネットワークには、Apache Log4j ライブラリーを含む Oracle データベースのインストールが含まれています（詳細は以下を参照）。ただし、Waters がサポートする UNIFI および waters_connect/UNIFI のすべての実装は、通常のアプリケーション機能において Log4j ライブラリーに依存したり使用したりしません。

Waters は、サポートされているすべてのバージョンの UNIFI および waters_connect/UNIFI をテストしており、Oracle のインストールによって展開され、影響を受ける Log4j ライブラリーを含むディレクトリーが、Waters 提供のメディアを使用して、安全に検査および削除できることを確認しました。zip または同等のユーティリティを使用して影響を受けるディレクトリーをアーカイブすることによる検査は、元に戻すことができ、エラーが発生しにくくなるため、削除よりも推奨されます。

 

• UNIFI 1.9.4 (Oracle 12c)
• UNIFI 1.9.4 の既定のインストールには、Apache Log4j ライブラリーを含む Oracle データベースのインストールが含まれています。これらの環境の脆弱性スキャンにより、Apache Log4j ライブラリーの影響を受けるバージョンが特定されることがあります。Log4j ライブラリーは以下の場所にあります：

\Waters\Oracle\Oracle12c\ccr\lib
バージョン 1.x Log4j ライブラリーは、Log4j の脆弱性の影響を受けません。（Oracle ドキュメント ID 2830143.1）

\Waters\Oracle\Oracle12c\sysman\jlib\ocm
バージョン 1.x Log4j ライブラリーは、Log4j の脆弱性の影響を受けません。（Oracle ドキュメント ID 2830143.1）

\Waters\Oracle\Oracle12c\sqldeveloper\sqldeveloper\lib
影響を受ける Log4j ライブラリーは存在しますが、SQL Developer によって使用されません。（Oracle ドキュメント ID 2828123.1）SQL Developer は、Waters 製品の操作に使用されておらず、必須でもありません。親ディレクトリー \Waters\Oracle\Oracle12c\sqldeveloper は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

\Waters\Oracle\Oracle12c\oui\jlib\jlib
Oracle Universal Installer は Log4j の脆弱性の影響を受けません。（Oracle ドキュメント ID 2830143.1）

\Waters\Oracle\asm12c\oui\jlib\jlib（ネットワーク展開のみ）
Oracle Universal Installer は Log4j の脆弱性の影響を受けません。（Oracle ドキュメント ID 2830143.1）

• UNIFI 1.9.4 に基づくクライアントおよび LND バージョンの既定のインストールには、Apache Log4j ライブラリーが含まれておらず、Log4j の脆弱性の影響を受けません。

 

• waters_connect/UNIFI 1.9.9 (Oracle 12c)
• UNIFI 1.9.9 の既定のインストールには、Apache Log4j ライブラリーを含む Oracle データベースのインストールが含まれています。これらの環境の脆弱性スキャンにより、Apache Log4j ライブラリーの影響を受けるバージョンが特定されることがあります。Log4j ライブラリーは以下の場所にあります：

\Waters\Oracle\Oracle12c\ccr\lib
バージョン 1.x Log4j ライブラリーは、Log4j の脆弱性の影響を受けません。（Oracle ドキュメント ID 2830143.1）

\Waters\Oracle\Oracle12c\sysman\jlib\ocm
バージョン 1.x Log4j ライブラリーは、Log4j の脆弱性の影響を受けません。（Oracle ドキュメント ID 2830143.1）

\Waters\Oracle\Oracle12c\sqldeveloper\sqldeveloper\lib
影響を受ける Log4j ライブラリーは存在しますが、SQL Developer によって使用されません。（Oracle ドキュメント ID 2828123.1）SQL Developer は、Waters 製品の操作に使用されておらず、必須でもありません。親ディレクトリー \Waters\Oracle\Oracle12c\sqldeveloper は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

\Waters\Oracle\Oracle12c\oui\jlib\jlib
Oracle Universal Installer は Log4j の脆弱性の影響を受けません。（Oracle ドキュメント ID 2830143.1）

\Waters\Oracle\asm12c\oui\jlib\jlib（ネットワーク展開のみ）
Oracle Universal Installer は Log4j の脆弱性の影響を受けません。（Oracle ドキュメント ID 2830143.1）

• waters_connect/UNIFI 1.9.9 に基づくクライアントおよび LND バージョンの既定のインストールには、Apache Log4j ライブラリーが含まれておらず、Log4j の脆弱性の影響を受けません。

 

• waters_connect/UNIFI 1.9.12 (Oracle 19c)
• UNIFI 1.9.12 の既定のインストールには、Apache Log4j ライブラリーを含む Oracle データベースのインストールが含まれています。これらの環境の脆弱性スキャンにより、Apache Log4j ライブラリーの影響を受けるバージョンが特定されることがあります。Log4j ライブラリーは以下の場所にあります：

\Waters\Oracle\DbHome\md\property_graph\lib
これは、Oracle データベースソフトウェアにバンドルされている Oracle Spatial 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Waters CDS 製品で使用されていません。親ディレクトリー \Waters\Oracle\DbHome\md\property_graph は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

\Waters\Oracle\DbHome\sqldeveloper\sqldeveloper\lib（サポート目的用のオプションインストール）
影響を受ける Log4j ライブラリーは存在しますが、SQL Developer によって使用されていません。（Oracle ドキュメント ID 2828123.1）SQL Developer は、Waters 製品の操作に使用されておらず、製品の操作に必須でもありません。親ディレクトリー \Waters\Oracle\DbHome\sqldeveloper は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

\Waters\Oracle\DbHome\suptools\tfa\release\tfa_home\jlib
これは、Oracle データベースソフトウェアにバンドルされている Oracle Trace File Analyzer 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Waters CDS 製品で使用されていません。親ディレクトリー \Waters\Oracle\DbHome\suptools\tfa\release\tfa_hoime\jlib は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

\Waters\Oracle\AsmHome\suptools\tfa\release\tfa_home\jlib（ネットワーク展開のみ）
これは、Oracle データベースソフトウェアにバンドルされている Oracle Trace File Analyzer 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Waters CDS 製品で使用されていません。親ディレクトリー \Waters\Oracle\AsmHome\suptools\tfa は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

• waters_connect/UNIFI 1.9.12 に基づくクライアントおよび LND バージョンの既定のインストールには、Apache Log4j ライブラリーが含まれておらず、Log4j の脆弱性の影響を受けません。

 

• waters_connect/UNIFI 1.9.13 (Oracle 19c)
• UNIFI 1.9.13 の既定のインストールには、Apache Log4j ライブラリーを含む Oracle データベースのインストールが含まれています。これらの環境の脆弱性スキャンにより、Apache Log4j ライブラリーの影響を受けるバージョンが特定されることがあります。Log4j ライブラリーは以下の場所にあります：

\Waters\Oracle\DbHome\md\property_graph\lib
これは、Oracle データベースソフトウェアにバンドルされている Oracle Spatial 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Waters CDS 製品で使用されていません。親ディレクトリー \Waters\Oracle\DbHome\md\property_graph は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

\Waters\Oracle\DbHome\sqldeveloper\sqldeveloper\lib（サポート目的用のオプションインストール）
影響を受ける Log4j ライブラリーは存在しますが、SQL Developer によって使用されていません。（Oracle ドキュメント ID 2828123.1）SQL Developer は、Waters 製品の操作に使用されておらず、製品の操作に必須でもありません。親ディレクトリー \Waters\Oracle\DbHome\sqldeveloper は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

\Waters\Oracle\DbHome\suptools\tfa\release\tfa_home\jlib
これは、Oracle データベースソフトウェアにバンドルされている Oracle Trace File Analyzer 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Waters CDS 製品で使用されていません。親ディレクトリー \Waters\Oracle\DbHome\suptools\tfa\release\tfa_home\jlib は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

\Waters\Oracle\AsmHome\suptools\tfa\release\tfa_home\jlib（ネットワーク展開のみ）
これは、Oracle データベースソフトウェアにバンドルされている Oracle Trace File Analyzer 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Waters CDS 製品で使用されていません。親ディレクトリー \Waters\Oracle\AsmHome\suptools\tfa は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

• waters_connect/UNIFI 1.9.13 に基づくクライアントおよび LND バージョンの既定のインストールには、Apache Log4j ライブラリーが含まれておらず、Log4j の脆弱性の影響を受けません。

• waters_connect/UNIFI 2.1.1 (Oracle 19c)
• UNIFI 2.1.1 の既定のインストールには、Apache Log4j ライブラリーを含む Oracle データベースのインストールが含まれています。これらの環境の脆弱性スキャンにより、Apache Log4j ライブラリーの影響を受けるバージョンが特定されることがあります。Log4j ライブラリーは以下の場所にあります：

\Waters\Oracle\DbHome\md\property_graph\lib
これは、Oracle データベースソフトウェアにバンドルされている Oracle Spatial 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Waters CDS 製品で使用されていません。親ディレクトリー \Waters\Oracle\DbHome\md\\property_graph は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

\Waters\Oracle\DbHome\sqldeveloper\sqldeveloper\lib（サポート目的用のオプションインストール）
影響を受ける Log4j ライブラリーは存在しますが、SQL Developer によって使用されていません。（Oracle ドキュメント ID 2828123.1）SQL Developer は、Waters 製品の操作に使用されておらず、製品の操作に必須でもありません。親ディレクトリー \Waters\Oracle\DbHome\sqldeveloper は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

\Waters\Oracle\DbHome\suptools\tfa\release\tfa_home\jlib
これは、Oracle データベースソフトウェアにバンドルされている Oracle Trace File Analyzer 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Waters CDS 製品で使用されていません。親ディレクトリー \Waters\Oracle\DbHome\suptools\tfa\release\tfa_home\jlib は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

• waters_connect/UNIFI 1.9.13 に基づくクライアントおよび LND バージョンの既定のインストールには、Apache Log4j ライブラリーが含まれておらず、Log4j の脆弱性の影響を受けません。

 

• waters_connect/UNIFI 2.1.2 (Oracle 19c)
• UNIFI 2.1.2 の既定のインストールには、Apache Log4j ライブラリーを含む Oracle データベースのインストールが含まれています。これらの環境の脆弱性スキャンにより、Apache Log4j ライブラリーの影響を受けるバージョンが特定されることがあります。Log4j ライブラリーは以下の場所にあります：

\Waters\Oracle\DbHome\md\property_graph\lib
これは、Oracle データベースソフトウェアにバンドルされている Oracle Spatial 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Waters CDS 製品で使用されていません。親ディレクトリー \Waters\Oracle\DbHome\md\property_graph は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

\Waters\Oracle\DbHome\sqldeveloper\sqldeveloper\lib（サポート目的用のオプションインストール）
影響を受ける Log4j ライブラリーは存在しますが、SQL Developer によって使用されていません。（Oracle ドキュメント ID 2828123.1）SQL Developer は、Waters 製品の操作に使用されておらず、製品の操作に必須でもありません。親ディレクトリー \Waters\Oracle\DbHome\sqldeveloper は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

\Waters\Oracle\DbHome\suptools\tfa\release\tfa_home\jlib
これは、Oracle データベースソフトウェアにバンドルされている Oracle Trace File Analyzer 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Waters CDS 製品で使用されていません。親ディレクトリー \Waters\Oracle\DbHome\suptools\tfa\release\tfa_home\jlib は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

\Waters\Oracle\AsmHome\suptools\tfa\release\tfa_home\jlib（ネットワーク展開のみ）
これは、Oracle データベースソフトウェアにバンドルされている Oracle Trace File Analyzer 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Waters CDS 製品で使用されていません。親ディレクトリー \Waters\Oracle\AsmHome\suptools\tfa は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。

• waters_connect/UNIFI 1.9.13 に基づくクライアントおよび LND バージョンの既定のインストールには、Apache Log4j ライブラリーが含まれておらず、Log4j の脆弱性の影響を受けません。

 

• waters_connect/UNIFI 3.0.0 (Oracle 19c)
• UNIFI 2.1.2 の既定のインストールには、Apache Log4j ライブラリーを含む Oracle データベースのインストールが含まれています。これらの環境の脆弱性スキャンにより、Apache Log4j ライブラリーの影響を受けるバージョンが特定されることがあります。Log4j ライブラリーは以下の場所にあります：

\Waters\Oracle\DbHome\md\property_graph\pgx\client\pgx-zeppelin-interpreter-3.2.0.zip
これは、Oracle データベースソフトウェアにバンドルされている Oracle Property Graph 製品の一部です。これに対するパッチは、Oracle ドキュメント ID 2830143.1 に記載されています。ただし、このコンポーネントは Waters CDS 製品で使用されていません。親ディレクトリー \Waters\Oracle\DbHome\md\\property_graph は、waters_connect/UNIFI の通常の操作に影響することなく、安全に検査または削除できます。