Incident: Eine schwerwiegende Sicherheitslücke bei der Remote-Code-Ausführung (CVE-2021-44228) wurde für die Bibliothekskomponente Log4j eines Drittanbieters gemeldet, die von verschiedenen P6-EPPM-Serverkomponenten verwendet wird.
Aktuell stehen wir im Austausch mit Oracle, welche Schritte unternommen werden können, bis ein Patch erscheint. Wir werden Sie im Bereich "News und Blog" auf unsere Homepage auf dem Laufenden halten.
Nachfolgende Oracle Primavera P6 Versionen sind aktuell von der Sicherheitslücke Log4J betroffen:
- Primavera P6 Enterprise Project Portfolio Management - Version 19.12 to 19.12.17.0 [Release 19.12]
- Primavera P6 Enterprise Project Portfolio Management - Version 20.12 to 20.12.9.0 [Release 20.12]
Die folgenden P6 EPPM-Module sind von den genannten Releases betroffen:
- P6 (Web)
- P6 Team Member
- P6 Web Services
- P6 Services (.jar und .war deployments)
- P6 Cloud Connect
- P6 Integration API
Die Sicherheitslücke betrifft Webapplikationen und Schnittstellen. Der P6 Professional Client ist davon nicht betroffen, es sei denn, er ist für die Kommunikation über P6 Professional Cloud Connect konfiguriert.
Diese Sicherheitslücke betrifft nicht P6 EPPM 18.X, 17.X oder frühere Release-Versionen.
Die Auswirkungen der Apache Log4j-Schwachstelle CVE-2021-44228 auf Oracle-Produkte für Versionen und Releases, die sich im Premier Support oder Extended Support gemäß der Oracle
Lifetime Support Policy befinden, sind in den entsprechenden Kategorien unten aufgeführt.
Hinweis von Oracle:
- Produktversionen, die nicht unter Premier Support oder Extended Support stehen, werden nicht auf das Vorhandensein dieser Sicherheitslücke getestet.
- Apache berichtet, dass CVE-2021-44228 nur für die Log4j-Versionen 2.0-2.14.1 und nicht für die Log4j-Versionen 1.x gilt.
