1、oracle官方文档指出无影响
参考Oracle官方文档:Doc ID 2830143.1
5.0条目列出Oracle Database (not exploitable)是无需打补丁的
2、开单给oracle
Oracle SR明确指出:
3、如果强制需要消除log4j
如果安全扫描扫出log4j文件在
$ORACLE_HOME/md/property_graph
或
$ORACLE_HOME/suptools/tfa/release/tfa_home/jlib
下,可以分别删除和升级tfa版本
(1)删除$ORACLE_HOME/md/property_graph下的所有子目录
fuser查看是否有占用:
fuser $ORACLE_HOME/md/property_graph/lib/log4j-jcl-2.11.0.jar
fuser $ORACLE_HOME/md/property_graph/lib/log4j-slf4j-impl-2.11.0.jar
fuser $ORACLE_HOME/md/property_graph/lib/log4j-api-2.11.0.jar
fuser $ORACLE_HOME/md/property_graph/lib/log4j-core-2.11.0.jar
fuser $ORACLE_HOME/md/property_graph/pgx/conf/log4j2.xml
fuser $ORACLE_HOME/md/property_graph/examples/pyopg/log4j2.xml
fuser $ORACLE_HOME/md/property_graph/dal/rexster-config/log4j2.xml
fuser $ORACLE_HOME/md/property_graph/dal/groovy/log4j2.xml
无返回结果的话,可以直接删除这些文件
(2)tfa相关组件升级
卸载当前tfa:
cd /oracle/app/oracle/product/19c/db_1/suptools/tfa/release/tfa_home/bin
./uninstalltfa.sh
然后到下载最新版的TFA,下载连接:2832630.1,解压后使用root用户执行./ahf_setup 进行安装。