28. Februar 2023
Vor über einem Jahr wurde die kritische Java-Schwachstelle Log4shell bekannt. Während OneStream XF® kein Log4j verwendet, war Oracle® direkt mit mehreren Produkten betroffen, darunter auch mit Versionen von Hyperion und Essbase. Wir konnten innert 3 Tagen nach Bekanntwerden mit unserem Mitigation Tool darauf reagieren, bevor die Softwarehersteller mit Updates nachgezogen haben.
Da Log4j in sehr vielen Softwareprodukten Verwendung findet und u. U. auch unter einem anderen Namen implementiert sein kann (da open source), raten wir weiterhin zu Updates Ihrer geschäftskritischen Software neben Ihren EPM/CPM-Anwendungen. Java wird auch für industrielle, medizinische und andere Spezialgeräte verwendet.
Für Fragen und Probleme im Zusammenhang mit Log4j wenden Sie sich an unseren Support.
17. Dezember 2021
Wir haben ein Tool geschrieben, das nach der Log4shell-Lücke in Ihrer Business-Anwendung sucht und diese automatisch korrigiert. Dieses steht ab sofort zum Download bereit. Bei Fragen wenden Sie sich bitte an unseren Support. Auf Wunsch übernehmen wir auch die Anwendung des Tools für Sie.
16. Dezember 2021
Wir haben in allen gehosteten Hyperion-Umgebungen die betroffene Java Class entfernt. Zusätzlich ist im Intrusion Prevention System ein Filter aktiv, der die ausgehenden Netzwerkverbindungen aus der Nutzung dieser Lücke verhindern würde.
Wir haben ein Tool geschrieben, das nach der Log4shell-Lücke sucht und diese automatisch korrigiert. Dieses stellen wir voraussichtlich ab Freitag, dem 17. Dezember zum Download bereit. Die Vorgehensweise ist folgende:
Auf Wunsch übernehmen wir die Anwendung des Tools für Sie. Bitte wenden Sie sich dafür an unseren Support. Der Zeitaufwand beträgt ±1h pro Umgebung.
15. Dezember 2021 /2
Die folgenden, oft in Verbindung mit Oracle® Hyperion genutzten Produkte nutzen keine Apache Log4j-Version 2.x und sind daher nicht von der Schwachstelle betroffen: EPM Maestro Suite, MerlinXL, EPM FastTrack, Accelatis, Dodeca, Serviceware Performance (cubus outperform)
15. Dezember 2021
Am vergangenen Freitag wurde die kritische Java-Schwachstelle Log4shell bekannt. Angreifer können diesen Fehler in der Codebibliothek Log4j, die weltweit in unzähligen Software-Produkten verankert ist, ausnutzen, den Systemcode ihrer Wahl auszuführen.
Während Log4j in OneStream XF® keine Verwendung findet, hat Oracle® mit Stand 10. Dezember eine Liste ihrer Produkte veröffentlicht, die von der Log4shell-Schwachstelle konkret betroffen sind oder derzeit daraufhin untersucht werden. Laut dieser sind auch Oracle® Hyperion und Essbase betroffen, sofern die Log4j-Versionen 2.0-2.14.1 genutzt werden. Die Versionen 1.x enthalten den Fehler nicht, weshalb die Produktversionen Hyperion Financial Management 11.1.2.4 und Hyperion Financial Reporting 11.1.2.4 nicht betroffen sind.
Hyperion 11.2.5.0.000 mit Nutzung von Fusion Middleware 12.2.1.4 und die verwendete log4j*.jar Version ist 2.10 oder höher. Details im Oracle Security Alert Advisory - CVE-2021-44228 (siehe unten)
DRM
EPMA
Essbase
Wir informieren, sobald ein hängiger Patch verfügbar wird.
Platform Security for Java
Oracle HTTP Server
Oracle WebLogic Server
Hersteller-Informationen:
Oracle Security Alert Advisory - CVE-2021-44228 https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
Oracle Support Artikel “Apache Log4j Security Alert CVE-2021-44228” (Doc ID 2827611.1) https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=2827611.1
Wir beobachten die Entwicklung weiter und informieren, sobald Updates für die einzelnen Produkte verfügbar sind. Wenn Sie benachrichtigt werden möchten, abonnieren Sie einfach unseren Newsletter.
Bei jedem Oracle-/OneStream EPM-Update die Release Notes mit unserer fachlichen Einschätzung direkt in Ihre Mailbox:
