アーティクル - CS358901

ThingWorx Apache log4j の脆弱性 - インシデント対応

修正日: 08-Nov-2023   


注記:ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。
お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

適用対象

  • ThingWorx Platform 8.1 to 9.4
  • ThingWorx Analytics 8.5 to 9.4
  • And all currently supported versions

説明

  • Apache log4j で特定された脆弱性 CVE-2021-44228 の修正に関する顧客への警告と推奨事項。この脆弱性は、PTC ソフトウェアがアプリケーション エラー、イベント、および関連情報のログ記録に使用するサードパーティ ライブラリに存在します。この脆弱性が悪用されると、環境上でリモートから悪意のあるコードが実行される可能性があります。
  • この脆弱性は、log4j ライブラリを更新するか、ソフトウェアからその使用を削除することにより、ThingWorx プラットフォーム バージョン 8.5、9.0、9.1、9.2 を含むメンテナンス バージョンで修正される予定です。
  • 当面は、脆弱性を除去する構成設定が存在する可能性があり、これを PTC ThingWorx インストールおよびこの記事で特定されたコンポーネントに直ちに適用することをお勧めします。
  • PTC は、カスタム ソリューションでのサード パーティによる Log4J の使用については責任を負わないことに注意してください。このような場合でも修復が必要です。これは、ThingWorx 製品スイートにリストされているすべての項目に適用されます。
  • Log4j 2.xでは次の脆弱性が報告されています。

    • CVE-2021-44228 :

      • 説明: Log4j JNDI 機能は、攻撃者が制御する LDAP およびその他の JNDI エンドポイントから保護しません。

    • CVE-2021-45105 :

      • 説明: Log4j 2.x は、自己参照検索による制御されない再帰から保護されず、サービス妨害 (DoS) を引き起こしました。

    • CVE-2021-44832 :

      • 説明: ロギング構成ファイルを変更する権限を持つ攻撃者は、リモート コードを実行できる JNDI URI を参照するデータ ソースを持つ JDBC アペンダーを使用して、悪意のある構成を構築する可能性があります。

  • Log4j 1.xでは次の脆弱性が報告されています。

    • CVE-2021-4104 :

      • 説明: JMSAppender 設定と TopicBindingName、TopicConnectionFactoryBindingName により、信頼できないデータの逆シリアル化が発生し、リモート コード実行 (RCE) が発生します。

    • CVE-2019-17571 :

      • 説明: SocketServer クラスは、信頼できないデータの逆シリアル化に対して脆弱であり、リモート コード実行 (RCE) を引き起こす可能性があります。

最新バージョンはこちらを参照ください CS358901