Soluzione # - CS358789
Vulnerabilità di sicurezza di Apache Log4j 2.x (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832) - Impatto su Windchill e FlexPLM
Modifica: 03-Apr-2025
Si applica a
- Windchill PDMLink 11.0 M030
- FlexPLM 11.0 M030
- FlexPLM 11.1 M010
- FlexPLM 11.1 M020
- Windchill PDMLink 11.1 M020
- Windchill PDMLink 11.2.1.0
- FlexPLM 11.2.1.0
- FlexPLM 12.0.0.0
- FlexPLM 12.0.2.0
- Windchill PDMLink 12.1.0.0
- Windchill PDMLink 12.0.2.0
Descrizione
È stata segnalata una vulnerabilità critica zero-day nella libreria di terze parti log4j.
Questo articolo è stato creato per fornire ai clienti informazioni e azioni consigliate.
Analisi e indagine in corso:
Questo articolo è stato creato per fornire ai clienti informazioni e azioni consigliate.
Analisi e indagine in corso:
- Consulta regolarmente questo articolo per ulteriori aggiornamenti e assicurati di conoscere i dettagli più recenti.
- CVE-2021-44228
Punteggio CVSS base: 10,0 CVSS:3,0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - È stata segnalata anche la seguente vulnerabilità correlata al CVE di cui sopra. Si raccomanda di affrontarla anche in via prioritaria.
CVE-2021-45046
Punteggio CVSS base: 9,0 CVSS:3,1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Versioni Apache log4j vulnerabili per i CVE di cui sopra: tutte le versioni da 2.0-beta9 a 2.15.0 - Il seguente CVE è stato segnalato da Apache per le versioni di log4j dalla 2.0-beta9 alla 2.16:
CVE-2021-45105
Punteggio CVSS di base: 7,5 CVSS: 3,1/AV: N/AC: L/PR: N/UI: N/S: U/C: N/I: N/A: H
Versioni Apache Log4j vulnerabili per CVE: da 2.0-beta7 a 2.16 - Il seguente CVE è stato segnalato da Apache contro Log4j 2.17:
CVE-2021-44832
Punteggio CVSS base: 6,6 CVSS: 3,1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
Versioni Apache Log4j vulnerabili per CVE:2.0-beta7 a 2.17.0
- Per maggiori dettagli fare riferimento all'articolo di Apache:
https://logging.apache.org/log4j/2.x/security.html
NOTA IMPORTANTE :
- Data la criticità della vulnerabilità segnalata, PTC RACCOMANDA VIVAMENTE di adottare misure IMMEDIATE per garantire la sicurezza di tutte le istanze di Windchill interessate.
- Al momento non sono stati segnalati exploit noti per Windchill.
Sono in corso le indagini per identificare ogni potenziale superficie di attacco.
- Tutte le istanze (dev, test e prod) sono interessate e qualsiasi distribuzione Windchill delle release interessate dovrebbe essere aggiornata secondo le raccomandazioni di seguito. Ciò include l'aggiornamento di tutti i file server Windchill .
IMPATTO SUI RILASCIAMENTI DI WINDCHILL:
- Windchill include la libreria log4j per funzionalità di registrazione native. ( vedere di seguito per gli impatti relativi ai componenti in bundle di terze parti supportati che si integrano direttamente con Windchill )
| Rilascio di vento freddo | Versione di Apache Log4j | Informazioni aggiuntive |
| 11.0 M030 | log4j 1.x | Non vulnerabile. Per maggiori informazioni, fare riferimento all'articolo CS359009 * PTC monitora e analizza costantemente le versioni di Windchill supportate per rilevare eventuali CVE critici o elevati segnalati. |
11.1 M020 e precedenti 11.2.1 Versione 11.1 M010 Versione 11.1 M020 Versione 11.2.1 di FlexPLM Versione 12.0.0 di FlexPLM | log4j 1.x | Non vulnerabile. Per maggiori informazioni, fare riferimento all'articolo CS359009 * PTC monitora e analizza costantemente le versioni di Windchill supportate per rilevare eventuali CVE critici o elevati segnalati. |
12.0.2.0 (CPS01 e CPS02) Versione 12.0.2 di FlexPLM | Versione 2.14.1 del log4j | Azione immediata fortemente consigliata: soluzione alternativa (vedere la sezione Risoluzione per i passaggi specifici) |
| 12.0.2.3 (CPS03) 12.1.0.0 Versione 12.0.2.2 | Versione 2.17.0 del log4j | Aggiornata la versione 2.17.0 di Log4j 12.0.2.3 Rilasciato il 28 dicembre 2021 12.1.0.0 Rilasciato il 30 dicembre 2021 |
| 12.0.2.4 (CPS04) 12.1.0.1 (CPS01) Versione 12.0.2.3 | Versione 2.17.1 del log4j | Aggiornato a log4j 2.17.1 CPS04 rilasciato il 16 febbraio 2022 CPS01 rilasciato il 23 febbraio 2022 |
- Componenti aggiuntivi di Windchill:
- Sono state effettuate ulteriori analisi sui componenti di Windchill per identificare eventuali impatti o rischi.
- Per informazioni sui componenti aggiuntivi di Windchill, consultare la risoluzione.
- Impatti sui componenti in bundle di terze parti:
- Sebbene le versioni precedenti di Windchill (antecedenti alla 12.0.2.0) potrebbero non includere la versione vulnerabile di log4j, i componenti in bundle di terze parti supportati potrebbero comunque essere vulnerabili.
- L'analisi dell'impatto di Windchill include la revisione dei seguenti componenti in bundle di terze parti:
- Sole
- Conoscenze
- Tibco
- Fare riferimento alla tabella seguente (sezione Risoluzione) per gli ultimi aggiornamenti per ciascun componente di terze parti.
IMPATTO SULLE APPLICAZIONI/SOLUZIONI PTC INTEGRATE:
- FlexPLM - Le azioni consigliate devono essere seguite. Eventuali considerazioni aggiuntive saranno fornite quando/se saranno disponibili.
- Navigare/ThingWorx - CS359107
- Ping Federato - CS358902
- Shibboleth SP - Non interessato. Per ulteriori dettagli, fare riferimento all'annuncio Shibboleth
- Wincom - Non interessato
Ulteriori posizioni in Windchill Codebase in cui si trova Log4j 2.x:
- Ci sono altre posizioni nel codice base di Windchill in cui è incluso log4j2.x.
- L'uso di log4j in queste posizioni non è sfruttabile.
- Tuttavia, per i clienti che necessitano che tutte le istanze di log4j siano aggiornate per soddisfare i requisiti di sicurezza, potrebbero essere necessari ulteriori passaggi per rimuovere log4j in queste posizioni:
Fare riferimento alla tabella alla fine dell'articolo per un elenco delle posizioni note e delle azioni consigliate
This is a PDF version of Article 358789 and may be out of date. For the latest version CS358789