ThingWorx Apache log4j の脆弱性 - インシデント対応
適用対象
- ThingWorx Platform 8.1 to 9.4
- ThingWorx Analytics 8.5 to 9.4
- And all currently supported versions
説明
- Apache log4j で特定された脆弱性 CVE-2021-44228 の修復に関するお客様への警告と推奨事項。この脆弱性は、PTC Software がアプリケーション エラー、イベント、および関連情報のログ記録に使用するサードパーティ ライブラリにあります。この脆弱性が悪用されると、お客様の環境でリモートから悪意のあるコードが実行される恐れがあります。
- この脆弱性は、log4j ライブラリを更新するか、ソフトウェアからその使用を削除することで、8.5、9.0、9.1、9.2 を含む ThingWorx プラットフォーム バージョンのメンテナンス バージョンで修正されます。
- 当面の間、脆弱性を排除する構成設定が存在する可能性があり、この記事で特定された PTC ThingWorx インストールおよびコンポーネントにこれを直ちに適用することをお勧めします。
- PTC は、カスタム ソリューションでの Log4J のサードパーティ使用については責任を負いません。この場合も修正が必要になります。これは、ThingWorx 製品スイートに記載されているすべての項目に適用されます。
Log4j 2.xでは次の脆弱性が報告されています:
CVE-2021-44228 : 脆弱性
説明: Log4j JNDI 機能は、攻撃者が制御する LDAP およびその他の JNDI エンドポイントから保護しません。
CVE-2021-45105 :
説明: Log4j 2.x は、自己参照ルックアップによる制御されていない再帰から保護しなかったため、サービス拒否 (DoS) が発生しました。
CVE-2021-44832 :
説明: ログ設定ファイルを変更する権限を持つ攻撃者は、リモート コードを実行できる JNDI URI を参照するデータ ソースを持つ JDBC アペンダーを使用して、悪意のある設定を構築できます。
Log4j 1.xでは次の脆弱性が報告されています:
CVE-2021-4104 :
説明: TopicBindingName、TopicConnectionFactoryBindingName とともに JMSAppender 構成により、信頼できないデータのデシリアライズが発生し、リモート コード実行 (RCE) が発生します。
CVE-2019-17571 : 脆弱性
説明: 信頼できないデータの逆シリアル化に対して脆弱な SocketServer クラスは、リモート コード実行 (RCE) を引き起こす可能性があります。