技术文章 - CS359107

ThingWorx Navigate Apache log4j 漏洞 - 事件响应

已修改: 23-Dec-2021   


注意:本文已使用机器翻译软件翻译,以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意, PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在 此处 查看本文的英文原始版本以便参考。有关机器翻译的更多详情,请单击 此处
感谢您告诉我们。我们将尽快审阅此译文。

适用于

  • ThingWorx Navigate 9.0
  • ThingWorx Navigate 9.1
  • ThingWorx Navigate 9.2

说明

  • Log4j 1.x(事件 CVE-2021-4104)
    • 虽然 Navigate 运行时应用程序本身不使用 log4j 1.x,因此不易受到攻击,但 Navigate 在 ThingWorx 上运行。请在 ThingWorx Apache log4j 漏洞 - 事件响应中查看 ThingWorx 的建议
    • ThingWorx Navigate 安装程序工具利用 log4j 1.x,但没有配置 JMSAppender。因此,根据CVE-2021-4104 ,ThingWorx Navigate 不易受到攻击,但出于谨慎考虑,我们建议完全删除受影响的类
    • ThingWorx Navigate 安装程序工具使用的是 log4j 版本 1.2.17
    • Log4j 1.2.17 存在于 Navigate 9.0、9.1 和 9.2 安装程序文件中
  • Log4j 2.x(事件 CVE-2021-44228 和 CVE-2021-45046)
    • 虽然 Navigate 运行时应用程序本身不使用 log4j 2.x 因此不容易受到攻击,但 Navigate 在 ThingWorx 上运行。请在 ThingWorx Apache log4j 漏洞 - 事件响应中查看 ThingWorx 的建议
    • 导航配置工具利用 log4j 2.x。如果您已安装 ThingWorx Navigate,则 log4j 库存在于磁盘上但未被运行时应用程序使用
    • ThingWorx Navigate 配置工具使用的是 log4j 版本 2.13.3,Navigate 建议实施 Apache 提议的修复,以完全删除受影响的类。
    • Log4j 2.13.3 存在于 Navigate 9.1 & 9.2 配置工具文件中
  • Log4j 1.x(事件 CVE-2019-17571)
    • 虽然 Navigate 运行时应用程序本身不使用 log4j 1.x,因此不易受到攻击,但 Navigate 在 ThingWorx 上运行。请在 ThingWorx Apache log4j 漏洞 - 事件响应中查看 ThingWorx 的建议
    • ThingWorx Navigate 安装程序工具利用 log4j 1.x,但无法通过其 SocketServer 类(存在漏洞的地方)访问远程日志。由于没有使用 SocketServer/SimpleSocketServer 类,因此确定 Navigate 不受CVE-2019-17571 的影响
这是文章 CS359107 的 PDF 版本,可能已过期。最新版本 https://www.ptc.com/cn/support/article/cs359107