Wissenswertes zur Log4j Schwachstelle in Bezug auf die Nutzung von Spatial and Graph

In MyOracleSupport (MOS) wurde ein neuer Artikel (Doc ID 2828303.1) veröffentlicht, welcher die mögliche Gefährdung von Spatial and Graph als Teil der Oracle Datenbank durch die Schwachstellen bei Log4j beschreibt und Handlungsanweisungen gibt.

Betroffen von CVE-2021-44228, CVE-2021-45046, CVE-2021-45104 und CVE-2021-45105 ist demnach Spatial in den Oracle Datenbank Versionen 12.2, 18.x und 21.x. Nicht betroffen sind die Versionen 11.2, 12.1 und 19.x.

Log4j (v2) wurde beginnend mit der Datenbank Version 12.2 für den Network Data Model (NDM) Server als Teil von Spatial and Graph verwendet und ist im Verzeichnis $ORACLE_HOME/md/jlib zu finden. Um den NDM Server aktiv zu nutzen, muß dieser auf einem Application Server deployed werden. Auch nach dem Deployment wird Log4j nicht für das Logging benutzt. Daher können die Log4j .jar Dateien gelöscht werden, ohne daß dies Auswirkungen auf die Funktionalität der Oracle Datenbank hat. Hierfür steht der Patch 33695048 zur Verfügung. Dieser ist anwendbar für die Oktober 2021 Database Release Updates von 12.2 und 21.4. Eine Version dieses Patches für die Version 18.14 wird in Kürze erwartet.

Vollständige Instruktionen gibt es im oben genannten MOS Artikel. Dieser Blog Post ist nur eine kurze Zusammenfassung dieses Artikels.

Weitere allgemeine Hinweise zur Log4j Schwachstelle finden sich auf den Seiten des BSI.

Beschreibungen der einzelnen Schwachstellen sind in der National Vulnerability Database (NVD) zu finden:

• CVE-2021-44228
• CVE-2021-45046
• CVE-2021-45105

Problem mit "version-enabled" Tabellen und SDO Metadaten nach Upgrade auf 19c

Für alle, die den Workspace Manager für Tabellen/Views mit Geodaten nutzen, kann es nach dem Upgrade auf 19c zu folgendem Problem kommen:

ENABLEVERSIONING FAILS TO POPULATE ALL_SDO_GEOM_METADATA DUE TO LACK OF QUOTES IN SDO_INDEX_METADATA_TABLE COLUMN

Dazu gibt es eine MOS Note mit der Doc ID 2761252.1.

Der Fehler wurde bereits behoben. Patches gibt es aktuell für die Versionen 19.9, 19.10 und 19.11. Sie können über diesen Link heruntergeladen werden. 

Spatial Bundle Patches für Oracle Database 19c

Für die Oracle Datenbank 19c gibt es folgende Empfehlungen für Patch Bundles:

• Version 19.9.0.0: Spatial Patch Bundle #32843588
  
• Version 19.10.0.0: Spatial Patch Bundle #32931223

Informationen zum jeweils letzten Patch Bundle für Spatial Funktionen in der Oracle Datenbank finden sich in der MyOracleSupport Note mit der Doc ID 2514624.1.

Aktuelles Papier zu GeoRaster in der Oracle Datenbank

Es gibt ein neues, technisch gehaltenes Papier zum Thema Rasterdaten in der Oracle Datenbank. Darin wird das Feature und dessen Nutzung beschrieben.
Zur Erinnerung: GeoRaster, ob für Satelliten- und Luftbilder oder sogenannte "Gridded" Data wie Wetter- und andere (Sensor-basierte) Messdaten, kann ohne zusätzliche Lizenzkosten mit jeder Edition der Oracle Datenbank genutzt werden kann.

WMS-basierte Hintergrundkarten in Spatial Studio 20.1

Spatial Studio bietet ab der aktuellen Version 20.1 auch die Möglichkeit, eigene Hintergrundkarten auf der Basis von Web Map Services (WMS) zu verwenden. Wie das geht, möchte ich am Beispiel eines WMS der Freien Hansestadt Hamburg zeigen. Ziel ist es, in Spatial Studio frei verfügbare Daten (Open Data) als thematische Ebene (Layer) auf eine WMS-basierte Hintergrundkarte (Basemap) zu legen.
Um zu erfahren, welche Eigenschaften der WMS meiner Wahl hat, setze ich zunächst einen getCapabilities Aufruf (Request) auf den Dienst ab. Die Antwort (Response) ist ein XML Dokument mit detaillierten Informationen. Diese benötige ich für einen getMap Aufruf, der eine Karte als Bild (zusammengesetzt aus einzelnen Kacheln) zurückgibt. Der Aufruf setzt sich aus folgender Basis-URL und Parametern zusammen:

Basis-URL	https://geodienste.hamburg.de/HH_WMS_DOP_belaubt
Bounding Box	BBOX={bbox-epsg-3857}
WMS Version	VERSION=1.3.0
WMS Aufruf	REQUEST=GetMap
Koordinatenbezugssystem	CRS=EPSG:3857
Bildbreite	WIDTH=256
Bildhöhe	HEIGHT=256
Bildformat	FORMAT=image/png
Bildhintergrund	BGCOLOR=0xA6CAF0
Bildtransparenz	TRANSPARENT=FALSE
Thematische Ebene	LAYERS=DOP_belaubt
Darstellung	STYLES=

Auf die Basis-URL folgt zunächst in Fragezeichen, bevor die einzelnen Parameter verbunden durch das logische UND-Zeichen angehängt werden. Zusammengesetzt ergibt dies:

https://geodienste.hamburg.de/HH_WMS_DOP_belaubt?bbox={bbox-epsg-3857}&VERSION=1.3.0&REQUEST=GetMap&CRS=EPSG:3857&WIDTH=256&HEIGHT=256&FORMAT=image/png&BGCOLOR=0xA6CAF0&TRANSPARENT=FALSE&LAYERS=DOP_belaubt&STYLES=

Was auffällt, sind 2 Dinge:

1. Zum einen wird derzeit vorausgesetzt, daß der Dienst das Koordinatenbezugssystem 3875 unterstützt. Das kann im getCapabilities Aufruf geprüft werden.
   
2. Zum anderen ist die besondere Schreibweise für die Bounding Box abweichend von einem typischen getMap Aufruf. Hier wird ein nämlich Platzhalter verwendet, damit sich das spätere Kartenbild entsprechend der gewählten Zoomstufe und den Abmaßen für die Kartenregion anpassen kann.

Der getMap Aufruf kann jetzt in Spatial Studio hinterlegt werden. Dazu werden die Settings aufgerufen und anschließend Basemaps.

Über Add Maps und Raster tiles kann jetzt der WMS hinzugefügt werden. Die Voransicht (Quick View) benötigt ein wenig Zoomen und Verschieben, da noch nicht automatisch auf das Kartenbild gezoomt und zentriert wird. 

Damit das Ganze auch in einem Projekt funktioniert, braucht es noch ein Detail. Die Domain der URL muß für die Verwendung im Browser freigeschaltet werden. Das passiert auch in den Settings mittels der Kachel Safe Domains. Zu den bereits vorhandenen Domains können beliebig weitere hinzugefügt werden. Mein WMS hat die folgende Domain:

https://geodienste.hamburg.de

Hintergrundkarte und frei verfügbare Daten (meine thematische Ebene sind die Kitas in Hamburg - Quelle: Transparenzportal Hamburg) zusammen ergeben dann diese Kartendarstellung.

Probiert´s einfach mal aus.