Artikel - CS359009
Sicherheitslücken in Apache Log4J 1.x (CVE-2021-4104, CVE-2019-17571, CVE-2022-23302, CVE-2022-23305 und CVE-2022-23307) – Auswirkungen auf Windchill PLM & FLexPLM
Geändert: 09-Apr-2025
Vielen Dank für den Hinweis. Wir werden die Übersetzung so bald wie möglich überprüfen.
Betrifft
- FlexPLM 11.1 M010 to M020
- Windchill PDMLink 11.0 M030
- FlexPLM 11.0 M030
- Windchill PDMLink 11.1 M020
- Windchill PDMLink 11.2.1.0
- FlexPLM 11.2.1.0
- FlexPLM 12.0.0.0
Beschreibung
Für Apache Log4j 1.x wurden mehrere CVEs gemeldet. Da bekannt ist, dass der Support für dieses Problem nicht mehr besteht, werden Analysen und Begründungen bereitgestellt, um die bekannten Auswirkungen auf Windchill PLM zu bestätigen.
Die oben im Bereich „Gilt für“ angegebenen Produktversionen enthalten alle die Version log4j1.2.17.
Anfällige Apache Log4j-Versionen für die identifizierten CVEs: Alle 1.2.X-Versionen bis 1.2.17
CVE-2021-4104
In Log4j 1.x führt der JMSAppender eine JNDI-Suche durch, sofern er in der Konfigurationsdatei von Log4j aktiviert ist. Anwendungen, die Log4j 1.x verwenden, können betroffen sein, wenn ihre Konfiguration JNDI (JMSAppender) verwendet.
Basis-CVSS-Score: 7,5 CVSS:3,1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Red Hat hat RHSB-2021-009 ( CVE-2021-4104 ) identifiziert
https://access.redhat.com/security/cve/CVE-2021-4104
Der Redhat Bugzilla -Artikel enthält zusätzliche Details:
In der Java-Protokollierungsbibliothek Apache Log4j in Version 1.x wurde ein Fehler gefunden. Dieser ermöglicht es einem Remote-Angreifer, Code auf dem Server auszuführen, wenn die bereitgestellte Anwendung für die Verwendung von JMSAppender konfiguriert ist.
CVE-2021-4104 betrifft Log4j 1.2 nur, wenn das Produkt speziell für die Verwendung von JMSAppender konfiguriert ist, was nicht die OOTB-Konfiguration für Windchill ist.
CVE-2019-17571
In Log4j 1.2 ist eine SocketServer-Klasse enthalten, die anfällig für die Deserialisierung nicht vertrauenswürdiger Daten ist. In Kombination mit einem Deserialisierungs-Gadget kann dies ausgenutzt werden, um beim Abhören nicht vertrauenswürdigen Netzwerkverkehrs auf Protokolldaten aus der Ferne beliebigen Code auszuführen.
Basis-CVSS-Score: 9,8 CVSS: 3,1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2022-23302
Basispunktzahl: 8,8 Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Anfällige Apache Log4j-Versionen: 1.x
JMSSink in allen Versionen von Log4j 1.x ist anfällig für die Deserialisierung nicht vertrauenswürdiger Daten, wenn der Angreifer Schreibzugriff auf die Log4j-Konfiguration hat oder die Konfiguration auf einen LDAP-Dienst verweist, auf den der Angreifer Zugriff hat. Der Angreifer kann eine TopicConnectionFactorBinderingName-Konfiguration bereitstellen, die JMSSink veranlasst, JNDI-Anfragen auszuführen, die ähnlich wie bei CVE-2021-4104 zu Remotecodeausführung führen.
Beachten Sie, dass dieses Problem Log4j 1.x nur betrifft, wenn es speziell für die Verwendung von JMSSink konfiguriert ist, was nicht die Standardeinstellung ist.
Der Redhat-Artikel enthält Details:
In der Java-Protokollierungsbibliothek Apache Log4j in Version 1.x wurde ein Fehler gefunden. Dieser ermöglicht es einem Remote-Angreifer, Code auf dem Server auszuführen, wenn die bereitgestellte Anwendung für die Verwendung von JMSSink konfiguriert ist.
CVE-2022-23305
Basispunktzahl: 9,8 Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Anfällige Apache Log4j-Versionen: 1.2.x
Laut CVE akzeptiert der JDBCAppender in Log4j 1.2.x eine SQL-Anweisung als Konfigurationsparameter, wobei die einzufügenden Werte Konverter von PatternLayout sind. Der Nachrichtenkonverter %m ist wahrscheinlich immer enthalten. Dies ermöglicht Angreifern, SQL zu manipulieren, indem sie manipulierte Zeichenfolgen in Eingabefelder oder Header einer Anwendung eingeben, die protokolliert werden und unbeabsichtigte SQL-Abfragen ermöglichen.
Diese CVE betrifft NUR Anwendungen, die Log4j 1.2.x verwenden und speziell für die Verwendung von JDBCAppender konfiguriert sind, was nicht die OOTB-Konfiguration für Windchill ist.
CVE-2022-23307
Basispunktzahl: 9,8 Vektor: CVSS3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Anfällige Apache Log4j-Versionen: 1.2.x
In Chainsaw, dem Log-Viewer in Log4j 1.2.x, besteht ein Deserialisierungsproblem, das zur Ausführung willkürlichen Codes führen kann. Die Sicherheitslücke wurde zuvor als CVE-2020-9493 bezeichnet und wurde mit der offiziellen Version von Apache Chainsaw 2.1.0 behoben. Log4j ist standardmäßig nicht für die Verwendung von Chainsaw konfiguriert.
Laut Redhat wurde in der Chainsaw-Komponente von log4j 1.x ein Fehler gefunden, bei dem der Inhalt bestimmter Protokolleinträge deserialisiert wird und möglicherweise die Ausführung von Code ermöglicht.
Diese CVE betrifft nur Anwendungen, die Chainsaw und seine Funktionen zum Abhören von LoggingEvent-Objekten verwenden, die mit SocketAppender gesendet werden, der weder in der OOTB-Windchill-Konfiguration aktiviert noch von der Windchill-Codebasis aufgerufen wird.
Zusätzliche Anmerkung:
Es wurde bestätigt, dass Log4j 1.x nicht unter CVE-2021-44228 leidet, das für Log4j 2.x gemeldet wurde. Siehe CS358789
Auswirkungen auf gebündelte Komponenten von Drittanbietern:
Die oben im Bereich „Gilt für“ angegebenen Produktversionen enthalten alle die Version log4j1.2.17.
Anfällige Apache Log4j-Versionen für die identifizierten CVEs: Alle 1.2.X-Versionen bis 1.2.17
CVE-2021-4104
In Log4j 1.x führt der JMSAppender eine JNDI-Suche durch, sofern er in der Konfigurationsdatei von Log4j aktiviert ist. Anwendungen, die Log4j 1.x verwenden, können betroffen sein, wenn ihre Konfiguration JNDI (JMSAppender) verwendet.
Basis-CVSS-Score: 7,5 CVSS:3,1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Red Hat hat RHSB-2021-009 ( CVE-2021-4104 ) identifiziert
https://access.redhat.com/security/cve/CVE-2021-4104
Der Redhat Bugzilla -Artikel enthält zusätzliche Details:
In der Java-Protokollierungsbibliothek Apache Log4j in Version 1.x wurde ein Fehler gefunden. Dieser ermöglicht es einem Remote-Angreifer, Code auf dem Server auszuführen, wenn die bereitgestellte Anwendung für die Verwendung von JMSAppender konfiguriert ist.
CVE-2021-4104 betrifft Log4j 1.2 nur, wenn das Produkt speziell für die Verwendung von JMSAppender konfiguriert ist, was nicht die OOTB-Konfiguration für Windchill ist.
CVE-2019-17571
In Log4j 1.2 ist eine SocketServer-Klasse enthalten, die anfällig für die Deserialisierung nicht vertrauenswürdiger Daten ist. In Kombination mit einem Deserialisierungs-Gadget kann dies ausgenutzt werden, um beim Abhören nicht vertrauenswürdigen Netzwerkverkehrs auf Protokolldaten aus der Ferne beliebigen Code auszuführen.
Basis-CVSS-Score: 9,8 CVSS: 3,1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Die Verwendung anfälliger SocketServer/SimpleSocketServer -Klassen wird durch den SocketAppender von Log4J ermöglicht, LoggingEvent-Objekte an einen entfernten Protokollserver, üblicherweise einen SocketNode, zu senden. Der SocketNode liest LoggingEvent-Objekte, die von einem Remote-Client über Sockets (TCP) gesendet werden. Diese Protokollierungsereignisse werden gemäß den lokalen Richtlinien protokolliert, als wären sie lokal generiert worden. Der SocketAppender sendet ein serialisiertes LoggingEvent-Objekt ohne Layout an den Server. Auf dem Remote-Host haben Sie durch Deserialisierung Zugriff auf dieselben Informationen und können das Layout für die Protokollausgabe festlegen.
- Die log4j-Funktion zum Zugriff auf Remote-Protokolle über die SocketServer-Klasse (in der die Sicherheitslücke besteht) ist in Windchill OOTB nicht aktiviert, und es gibt keinen entsprechenden Aufruf aus der Windchill-Codebasis. Darüber hinaus gibt es keine Windchill-Dokumentation, die die Aktivierung/Ausführung der Funktion erwähnt.
CVE-2022-23302
Basispunktzahl: 8,8 Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Anfällige Apache Log4j-Versionen: 1.x
JMSSink in allen Versionen von Log4j 1.x ist anfällig für die Deserialisierung nicht vertrauenswürdiger Daten, wenn der Angreifer Schreibzugriff auf die Log4j-Konfiguration hat oder die Konfiguration auf einen LDAP-Dienst verweist, auf den der Angreifer Zugriff hat. Der Angreifer kann eine TopicConnectionFactorBinderingName-Konfiguration bereitstellen, die JMSSink veranlasst, JNDI-Anfragen auszuführen, die ähnlich wie bei CVE-2021-4104 zu Remotecodeausführung führen.
Beachten Sie, dass dieses Problem Log4j 1.x nur betrifft, wenn es speziell für die Verwendung von JMSSink konfiguriert ist, was nicht die Standardeinstellung ist.
Der Redhat-Artikel enthält Details:
In der Java-Protokollierungsbibliothek Apache Log4j in Version 1.x wurde ein Fehler gefunden. Dieser ermöglicht es einem Remote-Angreifer, Code auf dem Server auszuführen, wenn die bereitgestellte Anwendung für die Verwendung von JMSSink konfiguriert ist.
CVE-2022-23305
Basispunktzahl: 9,8 Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Anfällige Apache Log4j-Versionen: 1.2.x
Laut CVE akzeptiert der JDBCAppender in Log4j 1.2.x eine SQL-Anweisung als Konfigurationsparameter, wobei die einzufügenden Werte Konverter von PatternLayout sind. Der Nachrichtenkonverter %m ist wahrscheinlich immer enthalten. Dies ermöglicht Angreifern, SQL zu manipulieren, indem sie manipulierte Zeichenfolgen in Eingabefelder oder Header einer Anwendung eingeben, die protokolliert werden und unbeabsichtigte SQL-Abfragen ermöglichen.
Diese CVE betrifft NUR Anwendungen, die Log4j 1.2.x verwenden und speziell für die Verwendung von JDBCAppender konfiguriert sind, was nicht die OOTB-Konfiguration für Windchill ist.
CVE-2022-23307
Basispunktzahl: 9,8 Vektor: CVSS3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Anfällige Apache Log4j-Versionen: 1.2.x
In Chainsaw, dem Log-Viewer in Log4j 1.2.x, besteht ein Deserialisierungsproblem, das zur Ausführung willkürlichen Codes führen kann. Die Sicherheitslücke wurde zuvor als CVE-2020-9493 bezeichnet und wurde mit der offiziellen Version von Apache Chainsaw 2.1.0 behoben. Log4j ist standardmäßig nicht für die Verwendung von Chainsaw konfiguriert.
Laut Redhat wurde in der Chainsaw-Komponente von log4j 1.x ein Fehler gefunden, bei dem der Inhalt bestimmter Protokolleinträge deserialisiert wird und möglicherweise die Ausführung von Code ermöglicht.
Diese CVE betrifft nur Anwendungen, die Chainsaw und seine Funktionen zum Abhören von LoggingEvent-Objekten verwenden, die mit SocketAppender gesendet werden, der weder in der OOTB-Windchill-Konfiguration aktiviert noch von der Windchill-Codebasis aufgerufen wird.
Zusätzliche Anmerkung:
Es wurde bestätigt, dass Log4j 1.x nicht unter CVE-2021-44228 leidet, das für Log4j 2.x gemeldet wurde. Siehe CS358789
| Windchill-Version | Apache Log4j-Version | Weitere Informationen |
| 11.0 M030 | log4j 1.x | Sofortiges Handeln wird dringend empfohlen (siehe Abschnitt „Lösung“ für PTC-Empfehlungen) |
| 11.1 M020 und früher 11.2.1 FlexPLM 11.1 M010 FlexPLM 11.1 M020 FlexPLM 11.2.1 FlexPLM 12.0.0 | log4j 1.x | Sofortiges Handeln wird dringend empfohlen (die Empfehlungen von PTC finden Sie im Abschnitt „Lösung“). |
Auswirkungen auf gebündelte Komponenten von Drittanbietern:
- Unterstützte gebündelte Komponenten von Drittanbietern können ebenfalls anfällig sein
- Solr
- Cognos
- Tibco
- PTC arbeitet mit jedem einzelnen Anbieter zusammen, um die Auswirkungen, die Ausnutzbarkeit und die empfohlenen Maßnahmen zu ermitteln. Darüber hinaus laufen interne Untersuchungen, um mögliche Zwischenschritte zur Minderung des Sicherheitsrisikos zu ermitteln.
- Die neuesten Updates für die einzelnen Drittanbieterkomponenten finden Sie in der folgenden Tabelle (Abschnitt „Lösung“).
- FlexPLM – Die empfohlenen Maßnahmen sollten befolgt werden. Weitere Hinweise werden bereitgestellt, sobald sie verfügbar sind.
- Navigieren/ThingWorx – CS359107
- Ping Federate – Wird analysiert
- Wincom – Log4j v1 wurde bisher in keiner Erweiterung direkt aktiv genutzt. Die Bibliothek wurde integriert, um eine Abhängigkeit im Code zu erfüllen. Analysen haben bestätigt, dass keine Angriffsfläche oder bekannte Ausnutzung besteht. Die Referenzen zu log4j 1.x wurden in Windchill Extension Platform 1.11.2 entfernt. Es wird jedoch empfohlen, auf die neueste verfügbare Version 1.12.2 umzusteigen, die unter windchill-extensions.ptc.com verfügbar ist.
Diese PDF-Version von Artikel 359009 ist möglicherweise veraltet. Aktuelle Version CS359009