技术文章 - CS359007
Apache Log4j 2.x 安全漏洞对 IBM Cognos 的影响
已修改: 12-May-2022
适用于
- Windchill PDMLink 11.0 M030
- Windchill PDMLink 11.1 M020
- Windchill PDMLink 11.2.1.0
- Windchill PDMLink 12.0.2.0
说明
最后更新:美国东部标准时间 2022 年 3 月 29 日上午 11:30(请参阅下面的版本历史记录)
3 rd方库 log4j 中报告了一个严重的零日漏洞。本文旨在帮助向客户提供与 Cognos 相关的信息和建议的操作,作为第3方支持的 Windchill 集成产品。
分析和调查正在进行中。随着 Apache Log4j 中的新漏洞被报告或发现新的推荐缓解措施,本文将进行更新。定期回来查看其他更新,以确保您拥有最新的详细信息。
CVE-2021-44228
基本 CVSS 分数:10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
还报告了与上述 CVE 相关的另一个不太严重的漏洞。建议也优先解决这个问题。
CVE-2021-45046
上述 CVE 的易受攻击的 Apache log4j 版本: 从 2.0-beta9 到 2.15.0 的所有版本
Apache 针对 log4j 2.16 报告了以下 CVE:
CVE-2021-45105
基本 CVSS 分数:7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/I:N/A:H
CVE 的易受攻击的 Apache Log4j 版本:2.0-beta7 到 2.16
Apache 针对 Log4j 2.17 报告了以下 CVE:
CVE-2021-44832
基础分数:6.6 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE 的易受攻击的 Apache Log4j 版本:2.0-beta7 到 2.17.0。
有关详细信息,请参阅 Apache 文章:
https://logging.apache.org/log4j/2.x/security.html
版本历史更新:
3 rd方库 log4j 中报告了一个严重的零日漏洞。本文旨在帮助向客户提供与 Cognos 相关的信息和建议的操作,作为第3方支持的 Windchill 集成产品。
分析和调查正在进行中。随着 Apache Log4j 中的新漏洞被报告或发现新的推荐缓解措施,本文将进行更新。定期回来查看其他更新,以确保您拥有最新的详细信息。
CVE-2021-44228
基本 CVSS 分数:10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
还报告了与上述 CVE 相关的另一个不太严重的漏洞。建议也优先解决这个问题。
CVE-2021-45046
上述 CVE 的易受攻击的 Apache log4j 版本: 从 2.0-beta9 到 2.15.0 的所有版本
Apache 针对 log4j 2.16 报告了以下 CVE:
CVE-2021-45105
基本 CVSS 分数:7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/I:N/A:H
CVE 的易受攻击的 Apache Log4j 版本:2.0-beta7 到 2.16
Apache 针对 Log4j 2.17 报告了以下 CVE:
CVE-2021-44832
基础分数:6.6 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE 的易受攻击的 Apache Log4j 版本:2.0-beta7 到 2.17.0。
有关详细信息,请参阅 Apache 文章:
https://logging.apache.org/log4j/2.x/security.html
版本历史更新:
| 更新日期和时间 | 评论 |
| 2021 年 12 月 14 日下午 6:00 | 初始内容 |
| 美国东部标准时间 2021 年 12 月 15 日下午 6:00 | 更新为包含 CVE-2021-45046 |
| 美国东部时间 2021 年 12 月 16 日下午 5:00 | 添加了指向 IBM 临时修订的链接 |
| 美国东部时间 2021 年 12 月 17 日下午 5:00 | 更新了解决方案以包括应用 IBM 提供的修补程序的步骤 |
| 美国东部时间 2021 年 12 月 20 日下午 6:00 | 添加了 CVE-2021-45105 |
| 在提供的解决方法的第 6 步中添加了说明 | |
| 2021 年 12 月 23 日 | Windchill 版本详细信息表中指定的修复版本 |
| 添加了指向 Cognos 的 IBM 安全公告的链接 | |
| 阐明了应用 Cognos 修补程序的步骤中的多个步骤 | |
| 在安装中为现有 log4j jar 添加了注释 | |
| 2021 年 12 月 29 日 | 更新为包含 CVE-2021-44832 |
| 更新为包括 WIndchill 11.0 M030 | |
| 2022 年 1 月 5 日 | 为安装中现有 log4j jar 的注释提供了额外说明 |
| 2022 年 1 月 6 日、2022 年 1 月 7 日 | 阐明了应用 Cognos Hotfix 的一些步骤中的详细信息 |
| 2022 年 1 月 19 日 | 更新为 Cognos 版本 11.1.7 IF8 提供推荐的 CPS 更新。 |
| 2022 年 1 月 31 日 | 更新了 IBM 对 CVE-2021-45105 和 CVE-2021-44832 的分析。 IBM Cognos Analytics 11.1.7 IF8 也解决了这两个问题。 |
| 2/2/2022 | 澄清 IF8 细节 |
| 2022 年 2 月 3 日 | 添加了包含 Cognos Analytics 11.1.7 IF8 的 Windchill 版本的详细信息 |
| 2022 年 3 月 18 日 | 阐明了应用 Cognos Analytics 11.1.7 IF8 的详细信息 |
| 2022 年 3 月 29 日 | 确认 Windchill 11.1 M020 CPS24 的发布日期为 3 月 16 日 |
| 2022 年 5 月 11 日 | 更新以提供与 Cognos Analytics 11.1.7 IF9 相关的详细信息 |
这是文章 359007 的 PDF 版本,可能已过期。最新版本 CS359007