Blog

Die Log4shell-Schwachstelle in Oracle® Hyperion, Essbase und OneStream XF®

Abonnieren Sie unseren Newsletter für aktuelle Informationen zum Thema Infrastrukturlösungen für Geschäftsanwendungen:

Zurück zum Blog

Blog

Die Log4shell-Schwachstelle in Oracle® Hyperion, Essbase und OneStream XF®

Abonnieren Sie unseren Newsletter für aktuelle Informationen zum Thema Infrastrukturlösungen für Geschäftsanwendungen:

Die Log4shell-Schwachstelle in Oracle® Hyperion, Essbase und OneStream XF®

Hinweis: Dieser Newsfeed fasst unsere Informationen und Lösungen zur Log4shell-Schwachstelle in Oracle® Hyperion und Essbase zusammen. Er wird laufend aktualisiert. Möchten Sie über neue Posts informiert werden, abonnieren Sie unseren Newsletter.


28. Februar 2023

Log4shell ein Jahr danach

Vor über einem Jahr wurde die kritische Java-Schwachstelle Log4shell bekannt. Während OneStream XF® kein Log4j verwendet, war Oracle® direkt mit mehreren Produkten betroffen, darunter auch mit Versionen von Hyperion und Essbase. Wir konnten innert 3 Tagen nach Bekanntwerden mit unserem Mitigation Tool darauf reagieren, bevor die Softwarehersteller mit Updates nachgezogen haben.

Da Log4j in sehr vielen Softwareprodukten Verwendung findet und u. U. auch unter einem anderen Namen implementiert sein kann (da open source), raten wir weiterhin zu Updates Ihrer geschäftskritischen Software neben Ihren EPM/CPM-Anwendungen. Java wird auch für industrielle, medizinische und andere Spezialgeräte verwendet.

Für Fragen und Probleme im Zusammenhang mit Log4j wenden Sie sich an unseren Support.


17. Dezember 2021

Mitigation Tool

Wir haben ein Tool geschrieben, das nach der Log4shell-Lücke in Ihrer Business-Anwendung sucht und diese automatisch korrigiert. Dieses steht ab sofort zum Download bereit. Bei Fragen wenden Sie sich bitte an unseren Support. Auf Wunsch übernehmen wir auch die Anwendung des Tools für Sie.


16. Dezember 2021

Diese Lösungen bieten wir aktuell an

Hosting-Kunden

Wir haben in allen gehosteten Hyperion-Umgebungen die betroffene Java Class entfernt. Zusätzlich ist im Intrusion Prevention System ein Filter aktiv, der die ausgehenden Netzwerkverbindungen aus der Nutzung dieser Lücke verhindern würde.

On Premise-Kunden

Wir haben ein Tool geschrieben, das nach der Log4shell-Lücke sucht und diese automatisch korrigiert. Dieses stellen wir voraussichtlich ab Freitag, dem 17. Dezember zum Download bereit. Die Vorgehensweise ist folgende:

  1. Hyperion (oder andere Business Software) stoppen
  2. Snapshot der Maschine erstellen
  3. Tool laufen lassen und generiertes Log überprüfen
  4. Applikationen wieder starten und testen

Auf Wunsch übernehmen wir die Anwendung des Tools für Sie. Bitte wenden Sie sich dafür an unseren Support. Der Zeitaufwand beträgt ±1h pro Umgebung.


15. Dezember 2021 /2

Die folgenden, oft in Verbindung mit Oracle® Hyperion genutzten Produkte nutzen keine Apache Log4j-Version 2.x und sind daher nicht von der Schwachstelle betroffen: EPM Maestro Suite, MerlinXL, EPM FastTrack, Accelatis, Dodeca, Serviceware Performance (cubus outperform)


15. Dezember 2021

Am vergangenen Freitag wurde die kritische Java-Schwachstelle Log4shell bekannt. Angreifer können diesen Fehler in der Codebibliothek Log4j, die weltweit in unzähligen Software-Produkten verankert ist, ausnutzen, den Systemcode ihrer Wahl auszuführen.

Welche Produkte sind betroffen?

Während Log4j in OneStream XF® keine Verwendung findet, hat Oracle® mit Stand 10. Dezember eine Liste ihrer Produkte veröffentlicht, die von der Log4shell-Schwachstelle konkret betroffen sind oder derzeit daraufhin untersucht werden. Laut dieser sind auch Oracle® Hyperion und Essbase betroffen, sofern die Log4j-Versionen 2.0-2.14.1 genutzt werden. Die Versionen 1.x enthalten den Fehler nicht, weshalb die Produktversionen Hyperion Financial Management 11.1.2.4 und Hyperion Financial Reporting 11.1.2.4 nicht betroffen sind.


Oracle® Produkte mit erhältlichen Schutzmassnahmen:

Hyperion 11.2.5.0.000 mit Nutzung von Fusion Middleware 12.2.1.4 und die verwendete log4j*.jar Version ist 2.10 oder höher. Details im Oracle Security Alert Advisory - CVE-2021-44228 (siehe unten)


Oracle® Produkte mit hängigen Patches:

DRM
EPMA
Essbase

Wir informieren, sobald ein hängiger Patch verfügbar wird.


Oracle® Produkte in Untersuchung:

Platform Security for Java


Oracle® Produkte ohne Patch-Bedarf:

Oracle HTTP Server
Oracle WebLogic Server


Hersteller-Informationen:

Oracle Security Alert Advisory - CVE-2021-44228 https://www.oracle.com/security-alerts/alert-cve-2021-44228.html

Oracle Support Artikel “Apache Log4j Security Alert CVE-2021-44228” (Doc ID 2827611.1) https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=2827611.1 


Wir beobachten die Entwicklung weiter und informieren, sobald Updates für die einzelnen Produkte verfügbar sind. Wenn Sie benachrichtigt werden möchten, abonnieren Sie einfach unseren Newsletter.


Fallbeispiele

Ähnliche Artikel

Holen Sie sich den Update-Reminder

Bei jedem Oracle-/OneStream EPM-Update die Release Notes mit unserer fachlichen Einschätzung direkt in Ihre Mailbox:

Danke! Wir haben Ihre Anmeldung erhalten.
Thank you! Your submission has been received!
Ups, das hat nicht funktioniert.
Oops! Something went wrong while submitting the form.
Danke! Wir haben Ihre Anmeldung erhalten.
Thank you! Your submission has been received!
Ups, das hat nicht funktioniert.
Oops! Something went wrong while submitting the form.