作者 | JiekeXu來源 |公眾號 JiekeXu DBA之路（ID: JiekeXu_IT）如需轉載請聯系授權 | (個人微信 ID：JiekeXu_DBA)大家好，我是 JiekeXu,很高興又和大家見面了,今天和大家一起來看看 Oracle Log4j 漏洞修復及 AHF 的簡單使用 ，歡迎點擊上方藍字“JiekeXu DBA之路”關注我的公眾號，標星或置頂，更多干貨第一時間到達！Apache Log4j 是一款開源的 Java 日志框架，被廣泛地應用在中間件、開發框架與 Web 應用中，用來記錄日志信息。漏洞描述：1. CVE-2021-44228，Apache Log4j 遠程代碼執行漏洞：2.0-beta9 <= Apache Log4j 2.x < 2.15.0，該漏洞利用難度低，嚴重 程度高，影響面非常大。2. CVE-2021-45046，Apache Log4j 拒絕服務與遠程代碼執行漏洞：2.0-beta9 <= Apache Log4j 2.x < 2.15.0。3. CVE-2021-4104，ApacheLog4j 1.2 JMSAppender 遠程代碼執行漏洞：Apache Log4j = 1.2。4. CVE-2021-45105，Apache Log4j2 拒絕服務漏洞：2.0-beta9 <= Apache Log4j <= 2.16.0。5. CVE-2021-44832，JDBCAppender 代碼執行漏洞：2.0-beta7 <= Apache Log4j <= 2.17.0（注：只有 log4j-core jar 文件受此漏洞影響）。受影響版本 2.0 <= Apache Log4j 2.x <= 2.17.0。不受影響版本Apache Log4j 2.17.1 及以上版本（支持 Java 8 及以上）Apache Log4j 2.12.4（支持 Java 7）Apache Log4j 2.3.2（支持 Java 6）排查方法 檢查是否使用 log4j，find / -name log4j*.jar(1)、檢查部署包、部署環境中是否存在 log4j-core-2.x.jar 包，查看版本META-INF/MANIFEST.MF 文件下的 Implementation-Version 屬性值。(2)、對于第三方包，Java JAR 解壓后是否存在 org/apache/logging/log4j 相關路徑結構，判斷是否使用了存在漏洞的組件，若使用了，則極可能存在該漏洞。(3)、針對源碼工程，查看依賴，查看是否存在 org.apache.logging.log4j 的 log4j-core。(4)、開源漏掃部署包。修復建議 1) 安全版本JDK8 及以上環境：升級到高階版本：目前官方發布的 Apache log4j 2.17.1 及以上版本已修復上述漏洞。

JDK7 環境：升級至 Apache Log4j 2.12.4JDK6 環境：升級至 Apache Log4j 2.3.2

2) 緩釋措施針對最嚴重的 CVE-2021-44228 漏洞， 在無法升級情況下，采用緩解措施：（1）添加 jvm 啟動參數 -Dlog4j2.formatMsgNoLookups=true（2）在應用程序的 classpath 下添加 log4j2.component.properties 配置文件，文件內容：log4j2.formatMsgNoLookups=True（3）移除 log4j-core 包中 JndiLookup 類文件，并重啟服務，具體命令：

接下來我們看數據庫中 log4j 漏洞都存在那些地方，我們 find 查找一下。

如下所示，數據庫沒有打任何補丁，DB 版本為 19.3,而 log4j 版本有兩個，一個為 TFA 所用的 2.9.1 版本，另一個為數據庫實例目錄下 2.11.0 的版本。

然后可以發現，在 grid 的家目錄下 suptools 目錄中同時存在 orachk、oratop、tfa 三種監控檢查工具。

如果我們的數據庫打了補丁，這里以 19c RAC 為例，11g 環境請自行測試。如果補丁版本過低，那么 GI 目錄下的 log4j 已經不存在了，但是 AHF 框架下還存在 2.13.3 版本的受影響的 AHF，那么這種情況下可以采取繼續更新高版本的 19c RU15-RU20 均可，也可以單獨升級 AHF，后文有講到如何升級。

那么，單機文件系統的Oracle 19c 呢(19.3 未打補丁的情況)，在 tfa_home 目錄下同樣存在log4j-core-2.9.1.jar 受影響的版本，生產環境建議打補丁，補丁升級到 RU19.12 或 RU19.15 以上版本，單機環境補丁更新停機時間也就三十多分鐘的樣子，具體補丁升級方法可參考我以前寫的文章：《RU15補丁更新》。當然你也可以嘗試下載高版本的 log4j 文件通過軟鏈接的形式來替換，下文中同樣有講到，你可以在測試環境中自行測試。

下面我們來插播一下 TFA 的簡單使用情況。查看 TFA：Trace File Analyzer 狀態和版本。

TFA 更多幫助命令

由此可以發現 tfactl 命令可以 |start|stop|print |toolstatus 等操作。

刪除 180 天以前的自動診斷存儲庫日志和跟蹤文件，參數 dryrun 先預估要刪除的文件和釋放的空間，然后去掉參數 dryrun 在執行刪除。

當然也可以按照 gi 和 database 分別刪除

查看目錄使用情況

TFA 的更多實用操作請查看官方文檔，這里不在演示了。

參考文檔：https://docs.oracle.com/en/engineered-systems/health-diagnostics/autonomous-health-framework/ahfug/managing-and-configuring-tfa.html#GUID-CBF85753-9DCC-48BC-AA83-5CA2982ED0EB下載最新的 AHF (Autonomous Health Framework) Oracle自治運行狀況框架,在 19c 后來的版本中,官方建議使用 AHF 來代替TFA 框架，所以這里我們直接下載最新的 AHF，MOS 文檔Doc ID:1513912.1 可以下載，也可本公眾號后臺回復【AHF】獲取此軟件包。

1）上傳此軟件包到服務器 RAC1并解壓

unzip AHF-LINUX_v23.6.0.zip -d AHF_23.6

2）安裝AHF官方文檔附錄中給出了安裝命令，我們可以參考，指定相關參數運行，也可以直接運行ahf_setup 命令(升級同樣也是運行此命令)，僅在節點1運行即可，安裝或升級過程中需要輸入節點 2 root 密碼。

3)檢查版本

4）刪除 grid 用戶下家目錄 suptools 下所有的 log4j*.jar（如果存在）

我這里 grid 下的 log4j 已經被自動刪除了，如果還存在，可以手動刪除。/opt 顯示的 log4j-core.jar 已經是符合要求的版本了，至于 db目錄 property_graph 下的這個需要打補丁，然后會自動刪除這個文件。這里我做一個大膽的嘗試，直接刪除這個文件然后重啟主機，看看數據庫能不能正常啟動(PS:生產環境不建議這么玩，推薦 RU 補丁更新),當然也可以刪除這兩個文件后使用高版本的 log4j-core 對其做一個軟鏈接指向低版本的 log4j。

重啟后檢查數據庫狀態，這里數據庫一切正常。

AHF 卸載 使用 root 用戶或者安裝者用戶執行 tfactl 或 ahfctl uninstall命令卸載，首先要停止 ORAchk,然后停止 TFA，最后刪除 AHF 安裝目錄 /opt/oracle.ahf。Running the command: Stops Oracle ORAchkStops Oracle Trace File AnalyzerDeletes the Oracle Autonomous Health Framework installation directory

AHF 常用命令

獲取 CPU 內存資源限制ahfctl getresourcelimit限制 CPU 核數為 2ahfctl setresourcelimit -value 2限制內存使用 500Mahfctl setresourcelimit -resource kmem -value 500限制內存和 SWAP內存總和為 1024Mahfctl setresourcelimit -resource swmem -value 1024分析所有錯誤信息(包括數據庫 ORA錯誤和 GI錯誤)tfactl analyze -type error同樣，也可以使用 tfactl 來清理診斷日志tfactl purge -older 30d

更多使用命令請查看官方文檔，這里不在演示。最后，花一點兒時間來簡單說一下 OGG log4j 漏洞，正常 ogg19c 以上版本中是不存在此漏洞的，但我這里還有Oracle GoldenGate for Big Data Version 12.3.2.1.1 的版本，此版本同樣使用了 log4j-core-2.9.1.jar 的包。同樣解決此漏洞可以打補丁，也可以升級 OGG 更可以使用高版本的OGG，只不過這三種辦法均不常用，一般也很少有人使用，我這里大膽一些，在測試環境中我直接刪除了 log4j-core-2.9.1.jar 這個包，服務均可正常使用，安全穩定運行一年多時間，生產環境中我使用高版本軟鏈接的方式替換這個包，也已經安全穩定運行一周了。如下是操作過程：

全文完，希望可以幫到正在閱讀的你，如果覺得此文對你有幫助，可以分享給你身邊的朋友，同事，你關心誰就分享給誰，一起學習共同進步~~~

歡迎關注我的公眾號【JiekeXu DBA之路】，第一時間一起學習新知識！以下三個地址可以找到我，其他地址都屬于盜版侵權爬取我的文章，而且代碼格式、圖片等均有錯亂，不方便閱讀，歡迎來我公眾號或者墨天輪地址關注我，第一時間收獲最新消息。

歡迎關注我的公眾號【JiekeXu DBA之路】，第一時間一起學習新知識！

————————————————————————————公眾號：JiekeXu DBA之路CSDN ：https://blog.csdn.net/JiekeXu墨天輪：https://www.modb.pro/u/4347————————————————————————————

Linuxoracle修復 環境 oracle修復搭建 MySQL8.0.28 主從同步環境