アーティクル - CS358901

ThingWorx Apache log4j の脆弱性 - インシデント対応

修正日: 06-May-2024   


注記:ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。
お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

適用対象

  • ThingWorx Platform 8.1 to 9.4
  • ThingWorx Analytics 8.5 to 9.4
  • And all currently supported versions

説明

  • Apache log4j で特定された脆弱性 CVE-2021-44228 の修復に関するお客様への警告と推奨事項。この脆弱性は、PTC Software がアプリケーション エラー、イベント、および関連情報のログ記録に使用するサードパーティ ライブラリにあります。この脆弱性が悪用されると、お客様の環境でリモートから悪意のあるコードが実行される恐れがあります。
  • この脆弱性は、log4j ライブラリを更新するか、ソフトウェアからその使用を削除することで、8.5、9.0、9.1、9.2 を含む ThingWorx プラットフォーム バージョンのメンテナンス バージョンで修正されます。
  • 当面の間、脆弱性を排除する構成設定が存在する可能性があり、この記事で特定された PTC ThingWorx インストールおよびコンポーネントにこれを直ちに適用することをお勧めします。
  • PTC は、カスタム ソリューションでの Log4J のサードパーティ使用については責任を負いません。この場合も修正が必要になります。これは、ThingWorx 製品スイートに記載されているすべての項目に適用されます。
  • Log4j 2.xでは次の脆弱性が報告されています:

    • CVE-2021-44228 : 脆弱性

      • 説明: Log4j JNDI 機能は、攻撃者が制御する LDAP およびその他の JNDI エンドポイントから保護しません。

    • CVE-2021-45105 :

      • 説明: Log4j 2.x は、自己参照ルックアップによる制御されていない再帰から保護しなかったため、サービス拒否 (DoS) が発生しました。

    • CVE-2021-44832 :

      • 説明: ログ設定ファイルを変更する権限を持つ攻撃者は、リモート コードを実行できる JNDI URI を参照するデータ ソースを持つ JDBC アペンダーを使用して、悪意のある設定を構築できます。

  • Log4j 1.xでは次の脆弱性が報告されています:

    • CVE-2021-4104 :

      • 説明: TopicBindingName、TopicConnectionFactoryBindingName とともに JMSAppender 構成により、信頼できないデータのデシリアライズが発生し、リモート コード実行 (RCE) が発生します。

    • CVE-2019-17571 : 脆弱性

      • 説明: 信頼できないデータの逆シリアル化に対して脆弱な SocketServer クラスは、リモート コード実行 (RCE) を引き起こす可能性があります。

最新バージョンはこちらを参照ください CS358901