E-Business Suite e o Log4j
Olá camarada !
Aqui estou de volta para falar sobre a saga da vulnerabilidade CVE-2021-44228 no Log4j. Dessa vez irei falar sobre o E-Business Suite.
A maioria das versões não são afetadas pela vulnerabilidade, devido ao fato de não utilizarem o Log4j. Só que há um porém !
Se você tiver acesso ao metalink (Oracle Support), dê uma olhada no DOC abaixo:
- CVE-2021-44228 Advisory for Oracle E-Business Suite (Apache log4j Vulnerabilities) (Doc ID 2827804.1)
Esse documento explica que as instalações que possuem o Oracle Applications Technology Stack na versão R12.TXK.C.Delta.12 ou superior, estão vulneráveis pois incluem o Log4j na versão 2.11.1.
Para saber qual a versão do Oracle Applications Technology Stack está instalada, basta executar a query abaixo:
SELECT a.abbreviation
,a.name
,a.codelevel
FROM ad_trackable_entities a
WHERE a.abbreviation IN ('txk');Você deverá obter um resultado como:
ABBREVIATION NAME CODELEVEL
------------------------------ ---------------------------------------------------------------------------------------------------- ------------------------------------------------------------------------------------------------------------------------------------------------------
txk Oracle Applications Technology Stack C.11 No caso acima, não há vulnerabilidade pois essa versão não utiliza o Log4j. Pois o resultado do codelevel foi C.11 (R12.TXK.C.Delta.11).
Caso o resultado do codelevel seja C.12 (R12.TXK.C.Delta.12) ou C.13 (R12.TXK.C.Delta.13), o seu ambiente “poderá” estar suscetível a vulnerabilidade.
Eu enfatizei o “poderá”, pois a Oracle ainda solicita um último teste para confirmação. Solicitando que se rode o comando:
ls -l $COMMON_TOP/java/lib/log4j_core.jarCaso o arquivo seja encontrado, então está CONFIRMADA A VULNERABILIDADE ! Aí é só seguir o workaround descrito na documentação e mitigar o problema !
Espero ter ajudado !
Fonte
