技术文章 - CS358901
ThingWorx Apache log4j 漏洞 - 事件响应
已修改: 11-Jul-2022
适用于
- ThingWorx Platform 8.1 to 8.5
- ThingWorx Platform 9.0
- ThingWorx Platform 9.1
- ThingWorx Platform 9.2
- ThingWorx Analytics 8.5
- ThingWorx Analytics 9.0
- ThingWorx Analytics 9.1
- ThingWorx Analytics 9.2
- ThingWorx Platform 9.3
- And all currently supported versions
说明
- 客户警报和修复 Apache log4j 的建议已识别漏洞 CVE-2021-44228。此漏洞位于第三方库中,PTC 软件使用该库记录应用程序错误、事件和相关信息。如果被利用,该漏洞允许在您的环境中远程执行潜在的恶意代码。
- 通过更新 log4j 库或从我们的软件中删除其使用,此漏洞将在 ThingWorx 平台版本(包括 8.5、9.0、9.1、9.2)的维护版本中得到修复。
- 在此期间,可能会有一些配置设置可以消除漏洞,建议立即将其应用于本文中确定的 PTC ThingWorx 安装和组件。
- 请注意,PTC 不对第三方在仍需要补救的自定义解决方案中使用 Log4J 负责。这适用于 ThingWorx Product Suite 中列出的所有项目。
Log4j 2.x报告了以下漏洞:
CVE-2021-44228 :
描述:Log4j JNDI 功能不能防止攻击者控制的 LDAP 和其他 JNDI 端点。
CVE-2021-45105 :
描述:Log4j 2.x 没有防止不受控制的递归自引用查找,导致拒绝服务 (DoS)
CVE-2021-44832 :
描述:具有修改日志配置文件权限的攻击者可以使用 JDBC Appender 构造恶意配置,其数据源引用可以执行远程代码的 JNDI URI。
Log4j 1.x报告了以下漏洞:
CVE-2021-4104 :
描述:JMSAppender 配置连同 TopicBindingName、TopicConnectionFactoryBindingName 导致不可信数据的反序列化,从而导致远程代码执行 (RCE)
CVE-2019-17571 :
描述: SocketServer 类易受不可信数据反序列化的影响,可能导致远程代码执行 (RCE)。
这是文章 CS358901 的 PDF 版本,可能已过期。最新版本 https://www.ptc.com/cn/support/article/cs358901