技术文章 - CS359011

Apache Log4j 2.x 安全漏洞对 Solr 的影响 (Windchill)

已修改: 31-Mar-2022   


注意:本文已使用机器翻译软件翻译,以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意, PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在 此处 查看本文的英文原始版本以便参考。有关机器翻译的更多详情,请单击 此处
感谢您告诉我们。我们将尽快审阅此译文。

适用于

  • Windchill PDMLink 11.1 M020
  • Windchill PDMLink 11.2.1.0
  • Windchill PDMLink 12.0.2.0
  • Windchill PDMLink 11.0 M030

说明

最后更新:美国东部标准时间 2022 年 1 月 19 日下午 4:00(请参阅下面的版本历史记录)

3rd 方库 log4j 中报告了一个严重的零日漏洞。本文旨在为客户提供与 Solr 相关的信息和建议操作,作为与 Windchill 的第 3 方支持的集成产品。

分析和调查正在进行中。随着 Apache log4j 中的新漏洞被报告或发现新的推荐缓解措施,本文将进行更新。定期查看本文以获取更多更新,以确保您拥有最新的详细信息。

CVE-2021-44228
基本 CVSS 分数:10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

已报告以下与上述 CVE 相关的漏洞;但是,建议也优先处理。
CVE-2021-45046
基本 CVSS 分数:9.0 CVS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
上述 CVE 的易受攻击的 Apache log4j 版本:从 2.0-beta9 到 2.15.0 的所有版本

Apache 针对 log4j 版本 2.0-beta 到 2.16 报告了以下 CVE:
CVE-2021-45105
基本 CVSS 分数:7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Apache 针对 Log4j 2.17 报告了以下 CVE:
CVE-2021-44832
基本 CVSS 分数:6.6 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE 的易受攻击的 Apache Log4j 版本:2.0-beta7 到 2.17.0

有关详细信息,请参阅 Apache 文章:
https://logging.apache.org/log4j/2.x/security.html

版本历史更新:
更新日期和时间注释
美国东部标准时间 2021 年 12 月 14 日下午 6:00初始内容
美国东部标准时间 2021 年 12 月 15 日下午 6:00更新为包含CVE-2021-45046
明确提供的解决方法
20121 年 12 月 16 日下午 4:00 EST使用新的推荐解决方法和其他版本详细信息更新分辨率
2021 年 12 月 20 日添加了 CVE-2021-45105
为 Prometheus Exporter 添加了注释
更新了解决问题的解决方法步骤
2021 年 12 月 21 日一般拼写和措辞更新
针对独立模式和云模式解决步骤 3 的说明
2021 年 12 月 22 日Solr 的 Prometheus 出口商的澄清说明
2021 年 12 月 23 日添加了 CVE-2021-45105修复信息
2021 年 12 月 29 日更新为包含CVE-2021-44832
更新为包括 Windchill 11.0 M030
2022 年 1 月 3 日更正了文本/超链接中的错别字
2022 年 1 月 5 日阐明了独立模式和云模式的升级步骤
2022 年 1 月 7 日更新了 Lucidworks 对 CVE-2021-44832 的分析
2022 年 1 月 10 日阐明了独立模式的升级步骤
2022 年 1 月 19 日添加了对 Solr 影响的说明
2022 年 2 月 11 日添加了 12.0.2 CPS 版本的详细信息
2022 年 3 月 8 日添加了即将更新到 Solr 8.11.1 的 Windchill CPS 版本的详细信息,其中包括 Log4j 2.16.0。
这是文章 CS359011 的 PDF 版本,可能已过期。最新版本 https://www.ptc.com/cn/support/article/cs359011