技术文章 - CS358901

ThingWorx Apache log4j 漏洞 - 事件响应

已修改: 03-May-2022   


注意:本文已使用机器翻译软件翻译,以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意, PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在 此处 查看本文的英文原始版本以便参考。有关机器翻译的更多详情,请单击 此处
感谢您告诉我们。我们将尽快审阅此译文。

适用于

  • ThingWorx Platform 8.1 to 8.5
  • ThingWorx Platform 9.0
  • ThingWorx Platform 9.1
  • ThingWorx Platform 9.2
  • ThingWorx Analytics 8.5
  • ThingWorx Analytics 9.0
  • ThingWorx Analytics 9.1
  • ThingWorx Analytics 9.2
  • And all currently supported versions

说明

  • 客户警报和修复 Apache log4j 的建议已识别漏洞 CVE-2021-44228。此漏洞位于第三方库中,PTC 软件使用该库记录应用程序错误、事件和相关信息。如果被利用,该漏洞允许在您的环境中远程执行潜在的恶意代码。
  • 通过更新 log4j 库或从我们的软件中删除其使用,此漏洞将在 ThingWorx 平台版本(包括 8.5、9.0、9.1、9.2)的维护版本中得到修复。
  • 在此期间,可能会有一些配置设置可以消除漏洞,建议立即将其应用于本文中确定的 PTC ThingWorx 安装和组件。
  • 请注意,PTC 不对第三方在仍需要补救的自定义解决方案中使用 Log4J 负责。这适用于 ThingWorx Product Suite 中列出的所有项目。
  • Log4j 2.x报告了以下漏洞:

    • CVE-2021-44228

      • 描述:Log4j JNDI 功能不能防止攻击者控制的 LDAP 和其他 JNDI 端点。

    • CVE-2021-45105

      • 描述:Log4j 2.x 没有防止不受控制的递归自引用查找,导致拒绝服务 (DoS)

    • CVE-2021-44832

      • 描述:具有修改日志配置文件权限的攻击者可以使用 JDBC Appender 构造恶意配置,其数据源引用可以执行远程代码的 JNDI URI。

  • Log4j 1.x报告了以下漏洞:

    • CVE-2021-4104

      • 描述:JMSAppender 配置连同 TopicBindingName、TopicConnectionFactoryBindingName 导致对不受信任的数据进行反序列化,从而导致远程代码执行 (RCE)

    • CVE-2019-17571

      • 描述: SocketServer 类易受不可信数据反序列化的影响,可能导致远程代码执行 (RCE)。

这是文章 CS358901 的 PDF 版本,可能已过期。最新版本 https://www.ptc.com/cn/support/article/cs358901