技术文章 - CS359011
Apache Log4j 2.x 安全漏洞对 Solr 的影响 (Windchill)
已修改: 31-Mar-2022
适用于
- Windchill PDMLink 11.1 M020
- Windchill PDMLink 11.2.1.0
- Windchill PDMLink 12.0.2.0
- Windchill PDMLink 11.0 M030
说明
最后更新:美国东部标准时间 2022 年 1 月 19 日下午 4:00(请参阅下面的版本历史记录)
3rd 方库 log4j 中报告了一个严重的零日漏洞。本文旨在为客户提供与 Solr 相关的信息和建议操作,作为与 Windchill 的第 3 方支持的集成产品。
分析和调查正在进行中。随着 Apache log4j 中的新漏洞被报告或发现新的推荐缓解措施,本文将进行更新。定期查看本文以获取更多更新,以确保您拥有最新的详细信息。
CVE-2021-44228
基本 CVSS 分数:10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
已报告以下与上述 CVE 相关的漏洞;但是,建议也优先处理。
CVE-2021-45046
基本 CVSS 分数:9.0 CVS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
上述 CVE 的易受攻击的 Apache log4j 版本:从 2.0-beta9 到 2.15.0 的所有版本
Apache 针对 log4j 版本 2.0-beta 到 2.16 报告了以下 CVE:
CVE-2021-45105
基本 CVSS 分数:7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Apache 针对 Log4j 2.17 报告了以下 CVE:
CVE-2021-44832
基本 CVSS 分数:6.6 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE 的易受攻击的 Apache Log4j 版本:2.0-beta7 到 2.17.0
有关详细信息,请参阅 Apache 文章:
https://logging.apache.org/log4j/2.x/security.html
版本历史更新:
3rd 方库 log4j 中报告了一个严重的零日漏洞。本文旨在为客户提供与 Solr 相关的信息和建议操作,作为与 Windchill 的第 3 方支持的集成产品。
分析和调查正在进行中。随着 Apache log4j 中的新漏洞被报告或发现新的推荐缓解措施,本文将进行更新。定期查看本文以获取更多更新,以确保您拥有最新的详细信息。
CVE-2021-44228
基本 CVSS 分数:10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
已报告以下与上述 CVE 相关的漏洞;但是,建议也优先处理。
CVE-2021-45046
基本 CVSS 分数:9.0 CVS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
上述 CVE 的易受攻击的 Apache log4j 版本:从 2.0-beta9 到 2.15.0 的所有版本
Apache 针对 log4j 版本 2.0-beta 到 2.16 报告了以下 CVE:
CVE-2021-45105
基本 CVSS 分数:7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Apache 针对 Log4j 2.17 报告了以下 CVE:
CVE-2021-44832
基本 CVSS 分数:6.6 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE 的易受攻击的 Apache Log4j 版本:2.0-beta7 到 2.17.0
有关详细信息,请参阅 Apache 文章:
https://logging.apache.org/log4j/2.x/security.html
版本历史更新:
| 更新日期和时间 | 注释 |
| 美国东部标准时间 2021 年 12 月 14 日下午 6:00 | 初始内容 |
| 美国东部标准时间 2021 年 12 月 15 日下午 6:00 | 更新为包含CVE-2021-45046和 明确提供的解决方法 |
| 20121 年 12 月 16 日下午 4:00 EST | 使用新的推荐解决方法和其他版本详细信息更新分辨率 |
| 2021 年 12 月 20 日 | 添加了 CVE-2021-45105 为 Prometheus Exporter 添加了注释 更新了解决问题的解决方法步骤 |
| 2021 年 12 月 21 日 | 一般拼写和措辞更新 针对独立模式和云模式解决步骤 3 的说明 |
| 2021 年 12 月 22 日 | Solr 的 Prometheus 出口商的澄清说明 |
| 2021 年 12 月 23 日 | 添加了 CVE-2021-45105修复信息 |
| 2021 年 12 月 29 日 | 更新为包含CVE-2021-44832 更新为包括 Windchill 11.0 M030 |
| 2022 年 1 月 3 日 | 更正了文本/超链接中的错别字 |
| 2022 年 1 月 5 日 | 阐明了独立模式和云模式的升级步骤 |
| 2022 年 1 月 7 日 | 更新了 Lucidworks 对 CVE-2021-44832 的分析 |
| 2022 年 1 月 10 日 | 阐明了独立模式的升级步骤 |
| 2022 年 1 月 19 日 | 添加了对 Solr 影响的说明 |
| 2022 年 2 月 11 日 | 添加了 12.0.2 CPS 版本的详细信息 |
| 2022 年 3 月 8 日 | 添加了即将更新到 Solr 8.11.1 的 Windchill CPS 版本的详细信息,其中包括 Log4j 2.16.0。 |
这是文章 359011 的 PDF 版本,可能已过期。最新版本 https://www.ptc.com/cn/support/article/cs359011