技术文章 - CS358901
ThingWorx Apache log4j 漏洞 - 事件响应
已修改: 06-May-2024
适用于
- ThingWorx Platform 8.1 to 9.4
- ThingWorx Analytics 8.5 to 9.4
- And all currently supported versions
说明
- 客户警报和针对 Apache log4j 已识别漏洞 CVE-2021-44228 的补救建议。此漏洞位于 PTC Software 用于记录应用程序错误、事件和相关信息的第三方库中。如果利用此漏洞,则允许在您的环境中执行远程和潜在的恶意代码。
- 该漏洞将在 ThingWorx 平台版本(包括 8.5、9.0、9.1、9.2)的维护版本中通过更新 log4j 库或从我们的软件中删除其使用来修复。
- 在此期间,可能存在可消除漏洞的配置设置,建议立即将其应用于本文中确定的 PTC ThingWorx 安装和组件。
- 请注意,PTC 不对第三方在自定义解决方案中使用 Log4J 承担责任,此类问题仍需补救。这适用于 ThingWorx 产品套件中列出的所有项目。
Log4j 2.x报告了以下漏洞:
CVE-2021-44228 :
描述:Log4j JNDI 功能无法防御攻击者控制的 LDAP 和其他 JNDI 端点。
CVE-2021-45105 :
描述:Log4j 2.x 无法防止来自自引用查找的不受控制的递归,从而导致拒绝服务 (DoS)
CVE-2021-44832 :
描述:具有修改日志配置文件权限的攻击者可以使用 JDBC Appender 构建恶意配置,该配置带有引用可执行远程代码的 JNDI URI 的数据源。
Log4j 1.x报告了以下漏洞:
CVE-2021-4104 :
描述:JMSAppender 配置以及 TopicBindingName、TopicConnectionFactoryBindingName 会导致不受信任的数据反序列化,从而导致远程代码执行 (RCE)
CVE-2019-17571 :
描述:SocketServer 类容易受到不受信任的数据反序列化攻击,可能导致远程代码执行 (RCE)。
这是文章 358901 的 PDF 版本,可能已过期。最新版本 CS358901