Es gibt eine große Sicherheitslücke beim Einsatz von log4j (Versionen 2.0 bis 2.14.1, nicht betroffen nach aktuellem Stand: Version 1.2.x sowie 2.15.0). Die Sicherheitslücke inkl. Checks und rudimentären Schutzmaßnahmen ist hier sehr gut erklärt: Schutz vor Log4j-Lücke – was hilft jetzt und was eher nicht | heise online.
Auch Oracle hat dazu einen Security Alert veröffentlicht (siehe CVE-2021-44228, den aktuellen Stand dazu kann im My Oracle Support-Portal unter der DOC ID 2827611.1 eingesehen werden).
Nach einer ersten Analyse von Oracle sind – Stand heute 14:00 Uhr – die Produkte Oracle Database und Oracle Enterprise Manager davon nicht betroffen. Der Trace File Anaylzer (TFA), der in der Regel bei Oracle Cluster und Oracle Engineered Systemen zum Einsatz kommt, jedoch schon.