In MyOracleSupport (MOS) wurde ein neuer Artikel (Doc ID 2828303.1) veröffentlicht, welcher die mögliche Gefährdung von Spatial and Graph als Teil der Oracle Datenbank durch die Schwachstellen bei Log4j beschreibt und Handlungsanweisungen gibt.
Betroffen von CVE-2021-44228, CVE-2021-45046, CVE-2021-45104 und CVE-2021-45105 ist demnach Spatial in den Oracle Datenbank Versionen 12.2, 18.x und 21.x. Nicht betroffen sind die Versionen 11.2, 12.1 und 19.x.
Log4j (v2) wurde beginnend mit der Datenbank Version 12.2 für den Network Data Model (NDM) Server als Teil von Spatial and Graph verwendet und ist im Verzeichnis $ORACLE_HOME/md/jlib zu finden. Um den NDM Server aktiv zu nutzen, muß dieser auf einem Application Server deployed werden. Auch nach dem Deployment wird Log4j nicht für das Logging benutzt. Daher können die Log4j .jar Dateien gelöscht werden, ohne daß dies Auswirkungen auf die Funktionalität der Oracle Datenbank hat. Hierfür steht der Patch 33695048 zur Verfügung. Dieser ist anwendbar für die Oktober 2021 Database Release Updates von 12.2 und 21.4. Eine Version dieses Patches für die Version 18.14 wird in Kürze erwartet.
Vollständige Instruktionen gibt es im oben genannten MOS Artikel. Dieser Blog Post ist nur eine kurze Zusammenfassung dieses Artikels.
Weitere allgemeine Hinweise zur Log4j Schwachstelle finden sich auf den Seiten des BSI.
Beschreibungen der einzelnen Schwachstellen sind in der National Vulnerability Database (NVD) zu finden: