1. 主页
  2. 支持
技术文章 - CS359011

Apache Log4j 2.x 安全漏洞对 Solr (Windchill) 的影响

已修改: 05-Jan-2024   


注意:本文已使用机器翻译软件翻译,以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意, PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在 此处 查看本文的英文原始版本以便参考。有关机器翻译的更多详情,请单击 此处
感谢您告诉我们。我们将尽快审阅此译文。

适用于

  • Windchill PDMLink 12.0.2.0 to 12.0.2.4
  • Windchill PDMLink 12.0.2.0 to 12.0.2.4
  • Windchill PDMLink 11.0 M030
  • Windchill PDMLink 11.1 M020
  • Windchill PDMLink 11.2.1.0
  • Windchill PDMLink 12.0.2.0

说明

最后更新:美国东部时间 2022 年 1 月 19 日下午 4:00(请参阅下面的版本历史记录)

第三方库 log4j 中报告了一个严重的零日漏洞。创建本文的目的是为客户提供与 Solr 相关的信息和建议的操作,Solr 作为 Windchill 的第 3 方支持的集成产品。

分析和调查正在进行中。随着 Apache log4j 中新漏洞的报告或新推荐的缓解措施的确定,本文将进行更新。定期查看本文以获取其他更新,以确保您了解最新的详细信息。

CVE-2021-44228
基本 CVSS 分数:10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

已报告与上述 CVE 相关的以下漏洞;然而,建议也优先处理。
CVE-2021-45046
基本 CVSS 分数:9.0 CVS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
上述 CVE 的易受攻击的 Apache log4j 版本:从 2.0-beta9 到 2.15.0 的所有版本

Apache 针对 log4j 版本 2.0-beta 至 2.16 报告了以下 CVE:
CVE-2021-45105
基本 CVSS 分数:7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Apache 针对 Log4j 2.17 报告了以下 CVE:
CVE-2021-44832
基本 CVSS 分数:6.6 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE 的易受攻击的 Apache Log4j 版本:2.0-beta7 至 2.17.0

更多详情请参考 Apache 文章:
https://logging.apache.org/log4j/2.x/security.html

版本历史更新:
更新日期和时间评论
2021 年 12 月 14 日下午 6:00(美国东部时间)初始内容
美国东部时间 2021 年 12 月 15 日下午 6:00更新为包含CVE-2021-45046
明确提供的解决方法
20121 年 12 月 16 日下午 4:00(美国东部时间)使用新推荐的解决方法和其他版本详细信息更新解决方案
12/20/2021添加了 CVE-2021-45105
添加了 Prometheus Exporter 的注释
更新了解决问题的解决方法步骤
2021年12月21日一般拼写和措辞更新
澄清独立和云模式解决方案中的步骤 3
2021年12月22日Solr 的 Prometheus 出口商的澄清说明
2021年12月23日添加了CVE-2021-45105修复信息
2021年12月29日已更新以包含CVE-2021-44832
更新为包括 Windchill 11.0 M030
2022 年 1 月 3 日更正了文本/超链接中的拼写错误
2022 年 1 月 5 日明确了独立模式和云模式的升级步骤
2022 年 1 月 7 日Lucidworks 更新了 CVE-2021-44832 的分析
2022 年 1 月 10 日明确了独立模式的升级步骤
2022 年 1 月 19 日添加了对 Solr 影响的说明
2022年2月11日添加了 12.0.2 CPS 版本的详细信息
2022 年 3 月 8 日添加了即将发布的 Windchill CPS 版本更新到 Solr 8.11.1(其中包括 Log4j 2.16.0)的详细信息。
这是文章 359011 的 PDF 版本,可能已过期。最新版本 CS359011