技术文章 - CS359107
ThingWorx Navigate Apache log4j 漏洞 - 事件响应
已修改: 23-Dec-2021
适用于
- ThingWorx Navigate 9.0
- ThingWorx Navigate 9.1
- ThingWorx Navigate 9.2
说明
- Log4j 1.x(事件 CVE-2021-4104)
- 虽然 Navigate 运行时应用程序本身不使用 log4j 1.x,因此不易受到攻击,但 Navigate 在 ThingWorx 上运行。请在 ThingWorx Apache log4j 漏洞 - 事件响应中查看 ThingWorx 的建议
- ThingWorx Navigate 安装程序工具利用 log4j 1.x,但没有配置 JMSAppender。因此,根据CVE-2021-4104 ,ThingWorx Navigate 不易受到攻击,但出于谨慎考虑,我们建议完全删除受影响的类
- ThingWorx Navigate 安装程序工具使用的是 log4j 版本 1.2.17
- Log4j 1.2.17 存在于 Navigate 9.0、9.1 和 9.2 安装程序文件中
- Log4j 2.x(事件 CVE-2021-44228 和 CVE-2021-45046)
- 虽然 Navigate 运行时应用程序本身不使用 log4j 2.x 因此不容易受到攻击,但 Navigate 在 ThingWorx 上运行。请在 ThingWorx Apache log4j 漏洞 - 事件响应中查看 ThingWorx 的建议
- 导航配置工具利用 log4j 2.x。如果您已安装 ThingWorx Navigate,则 log4j 库存在于磁盘上但未被运行时应用程序使用
- ThingWorx Navigate 配置工具使用的是 log4j 版本 2.13.3,Navigate 建议实施 Apache 提议的修复,以完全删除受影响的类。
- Log4j 2.13.3 存在于 Navigate 9.1 & 9.2 配置工具文件中
- Log4j 1.x(事件 CVE-2019-17571)
- 虽然 Navigate 运行时应用程序本身不使用 log4j 1.x,因此不易受到攻击,但 Navigate 在 ThingWorx 上运行。请在 ThingWorx Apache log4j 漏洞 - 事件响应中查看 ThingWorx 的建议
- ThingWorx Navigate 安装程序工具利用 log4j 1.x,但无法通过其 SocketServer 类(存在漏洞的地方)访问远程日志。由于没有使用 SocketServer/SimpleSocketServer 类,因此确定 Navigate 不受CVE-2019-17571 的影响
这是文章 359107 的 PDF 版本,可能已过期。最新版本 https://www.ptc.com/cn/support/article/cs359107