Oracle beveiligingswaarschuwing voor Apache Log4j
De afgelopen dagen heeft u in de media en op de diverse nieuws websites kunnen lezen over een beveiligingslek in Apache Log4j. Apache Log4j versie 2 wordt niet gebruikt in standaard Oracle WebLogic Server installaties en configuraties. De Oracle Weblogic Server software bevat echter wel de kwetsbare Log4j versie 2 jars in de zogenaamde third-party directory’s. De kwetsbaarheid is alleen van toepassing op Log4j versie 2.0-2.14.1.
Deze Log4j versie 2 jars zijn standaard niet aanwezig in het WebLogic Server Classpath en worden dus ook niet gebruikt door applicaties of onderliggende producten. Het is echter mogelijk dat u als klant zelf een aanpassing heeft gedaan aan het WebLogic Server Classpath waardoor de Log4j jar toch binnen WebLogic Server gebruikt wordt.
Oracle zal ter zijner tijd een patch uitbrengen voor WebLogic Server om de Log4j versie 2 jars te upgraden voor de omgevingen waarin deze Apache Log4j versie 2 jars wel in gebruik zijn.
Bron: Apache Log4j Security Alert CVE-2021-44228 Products and Versions (Doc ID 2827611.1) op MyOracleSupport: https://support.oracle.com/epmos/faces/SearchDocDisplay?_afrLoop=268186377211747&_afrWindowMode=0&_adf.ctrl-state=17ru7k3v12_4
Voor Oracle JD Edwards wordt WebLogic (SE) als onderdeel van de Stack licentie verkocht/gebruikt. Dat wil zeggen: alléén te gebruiken voor JD Edwards. (dus geen eigen/andere apps e.d). Dit betekent dat de installatie die we voor JD Edwards doen, gebruik maakt van een standaard Weblogic inrichting/installatie. Binnen WebLogic draait JD Edwards als onderdeel.
Mocht u naar aanleiding van deze e-mail nog vragen hebben omtrent de beveiliging van uw JD Edwards servers, of advies of hulp nodig hebben bij het aanbrengen van een patch of uitzoeken wat daadwerkelijk gebruikt wordt, dan kunt u altijd even contact opnemen met uw vaste Cadran consultant of met Cadran kantoor: +31 (0)33 -247 15 99.