1. 主页
  2. 支持
技术文章 - CS359008

Apache Log4j 2.x 安全漏洞对 TIBCO (Windchill) 的影响

已修改: 29-Mar-2022   


注意:本文已使用机器翻译软件翻译,以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意, PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在 此处 查看本文的英文原始版本以便参考。有关机器翻译的更多详情,请单击 此处
感谢您告诉我们。我们将尽快审阅此译文。

适用于

  • Windchill PDMLink 11.0 M030
  • Windchill PDMLink 11.1 M020
  • Windchill PDMLink 11.2.1.0
  • Windchill PDMLink 12.0.2.0

说明

最后更新:美国东部标准时间 2022 年 3 月 29 日上午 11:00(请参阅下面的版本历史记录)

3 rd方库 log4j 中报告了一个严重的零日漏洞。本文旨在帮助客户提供与 Tibco 产品相关的信息和建议操作,作为 Windchill 的第3方支持的集成解决方案。

调查和分析正在进行中。随着 Apache Log4j 中的新漏洞被报告或发现新的推荐缓解措施,本文将进行更新。定期回来查看其他更新,以确保您拥有最新的详细信息。

CVE-2021-44228
基本 CVSS 分数:10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

还报告了与上述 CVE 相关的另一个不太严重的漏洞。建议也优先解决这个问题
CVE-2021-45046

上述 CVE 的易受攻击的 Apache Log4j 版本:从 2.0-beta9 到 2.15.0 的所有版本

Apache 针对 Log4j 2.16 报告了以下 CVE:
CVE-2021-45105
基本 CVSS 分数:7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVE 的易受攻击的 Apache Log4j 版本:2.0-beta7 到 2.16

Apache 针对 Log4j 2.16 报告了以下 CVE:
CVE-2021-44832
基本 CVSS 分数:6.6 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE 的易受攻击的 Apache Log4j 版本:2.0-beta7 到 2.17.0

有关详细信息,请参阅 Apache 文章:
https://logging.apache.org/log4j/2.x/security.html

版本历史更新:
更新日期和时间 注释
美国东部时间 2021 年 12 月 14 日下午 5:00 初始内容
美国东部标准时间 2021 年 12 月 15 日下午 6:00 更新以包含CVE-2021-45046并明确提供的解决方法
2021 年 12 月 16 日下午 4:00 删除了未经 Tibco 认可的 PTC POC 解决方法说明
美国东部时间 2021 年 12 月 20 日下午 6:00 添加了 CVE-2021-45105
添加了 Tibco Hotfix01 修复步骤
美国东部时间 2021 年 12 月 23 日下午 1:00

更新为包含 CVE-2021-45046
更新了表格说明

美国东部时间 2021 年 12 月 29 日下午 1:00 更新为包含 CVE-2021-44832
更新为包括 Windchill 11.0 M030
2022 年 1 月 6 日添加了来自 Tibco 对 CVE-2021-44832 的分析
2022 年 2 月 11 日添加了 12.0.2 CPS 版本的详细信息
2022 年 2 月 22 日添加了 12.1.0 版本的详细信息
2022 年 3 月 29 日添加了最新 CPS 11.2.1 CPS15 和 11.1 M020 CPS24 的详细信息
这是文章 359008 的 PDF 版本,可能已过期。最新版本 CS359008