技术文章 - CS358789

Apache Log4j 2.x 安全漏洞 (CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832) - 对 Windchill 和 FlexPLM 的影响

已修改: 06-Mar-2022   


注意:本文已使用机器翻译软件翻译,以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意, PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在 此处 查看本文的英文原始版本以便参考。有关机器翻译的更多详情,请单击 此处
感谢您告诉我们。我们将尽快审阅此译文。

适用于

  • Windchill PDMLink 11.1 M020
  • Windchill PDMLink 11.2.1.0
  • Windchill PDMLink 12.0.2.0
  • FlexPLM 11.1 M010
  • FlexPLM 11.1 M020
  • FlexPLM 11.2.1.0
  • FlexPLM 12.0.0.0
  • FlexPLM 12.0.2.0
  • Windchill PDMLink 11.0 M030
  • FlexPLM 11.0 M030
  • Windchill PDMLink 12.1.0.0

说明

3rd 方库 log4j 中报告了一个严重的零日漏洞。
创建本文的目的是为客户提供信息和建议的操作。
分析和调查正在进行中:
  • 定期查看本文以获取更多更新,以确保您拥有最新的详细信息。
目前,已知以下漏洞:
  • CVE-2021-44228
    基本 CVSS 分数:10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • 还报告了与上述 CVE 相关的以下漏洞。建议也优先处理。
    CVE-2021-45046

    基本 CVSS 分数:9.0 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
    上述 CVE 的易受攻击的 Apache log4j 版本:从 2.0-beta9 到 2.15.0 的所有版本
  • Apache 针对 log4j 版本 2.0-beta9 到 2.16 报告了以下 CVE:
    CVE-2021-45105
    基本 CVSS 分数:7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    CVE 的易受攻击的 Apache Log4j 版本:2.0-beta7 到 2.16
  • Apache 针对 Log4j 2.17 报告了以下 CVE:
    CVE-2021-44832
    基本 CVSS 分数:6.6 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
    CVE:2.0-beta7 到 2.17.0 的易受攻击的 Apache Log4j 版本

    重要提示

    • 由于此报告的漏洞的严重性,PTC 强烈建议立即采取措施确保所有受影响的 Windchill 实例都是安全的。
    • 目前没有针对 Windchill 的已知漏洞报告。
      正在进行调查以识别任何潜在的攻击面。
    • 所有实例(开发、测试和生产)都会受到影响,并且受影响版本的任何 Windchill 部署都应按照以下建议进行更新。这包括更新所有Windchill 文件服务器

      对 Windchill 版本的影响:

      • Windchill 包括用于本机日志记录功能的 log4j 库。 (请参阅下文,了解与直接与 Windchill 集成的受支持的第 3 方捆绑组件相关的影响
      Windchill 发布Apache Log4j 版本附加信息
      11.0 M030日志4j 1.x
      不脆弱。有关详细信息,请参阅文章CS359009

      * PTC 持续监控和分析受支持的 Windchill 版本以发现任何报告的严重或高 CVE。

      11.1 M020 及更早版本
      11.2.1

      FlexPLM 11.1 M010
      FlexPLM 11.1 M020
      FlexPLM 11.2.1
      FlexPLM 12.0.0
      日志4j 1.x不脆弱。有关详细信息,请参阅文章CS359009

      * PTC 持续监控和分析受支持的 Windchill 版本以发现任何报告的严重或高 CVE。

      12.0.2.0
      (CPS01 和 CPS02)

      FlexPLM 12.0.2
      log4j 2.14.1强烈建议立即采取行动 - 解决方法(有关具体步骤,请参阅解决方案部分)
      12.0.2.3 (CPS03)
      12.1.0.0
      FlexPLM 12.0.2.2
      log4j 2.17.0
      更新了 Log4j 版本 2.17.0
      12.0.2.3 2021 年 12 月 28 日发布
      12.1.0.0 2021 年 12 月 30 日发布
      12.0.2.4 (CPS04)
      12.1.0.1 (CPS01)
      FlexPLM 12.0.2.3
      log4j 2.17.1
      更新到 log4j 2.17.1

      CPS04 2022 年 2 月 16 日发布

      CPS01 于 2022 年 2 月 23 日发布
        • 其他 Windchill 组件:
        • 已对 Windchill 组件进行了附加分析,以确定任何影响或风险。
        • 有关其他 Windchill 组件的信息,请参阅解决方案。
        • 对第 3 方捆绑组件的影响:
        • 虽然较早的 Windchill 版本(12.0.2.0 之前)可能不包含易受攻击的 log4j 版本,但受支持的第 3 方捆绑组件仍可能易受攻击。
        • Windchill 影响分析包括审查以下第 3 方捆绑组件:
          • 索尔
          • 科诺斯
          • 蒂布科
        • 有关每个第 3 方组件的最新更新,请参阅下表(解决部分)。

        对集成 PTC 应用程序/解决方案的影响:

        • FlexPLM - 应遵循建议的操作。当/如果它们可用时,将提供任何其他注意事项。
        • 导航/ ThingWorx - CS359107
        • Ping 联邦- CS358902
        • Shibboleth SP -不受影响。详情请参阅Shibboleth 公告
        • Wincom - 不受影响

        Windchill 代码库中找到 Log4j 2.x 的其他位置:

        • Windchill 代码库中还有其他位置包含 log4j2.x。
        • 在这些位置使用 log4j 是不可利用的。
        • 但是,对于要求所有 log4j 实例都是最新的以满足安全要求的客户,可能需要额外的步骤来删除这些位置的 log4j:
        有关已知位置和建议操作的列表,请参阅文章末尾的表格
        这是文章 CS358789 的 PDF 版本,可能已过期。最新版本 https://www.ptc.com/cn/support/article/cs358789