アーティクル - CS358901
ThingWorxApachelog4jの脆弱性-インシデント対応
修正日: 11-Jul-2022
適用対象
- ThingWorx Platform 8.1 to 8.5
- ThingWorx Platform 9.0
- ThingWorx Platform 9.1
- ThingWorx Platform 9.2
- ThingWorx Analytics 9.0
- ThingWorx Analytics 9.2
- ThingWorx Platform 9.3
- ThingWorx Analytics 9.1
- ThingWorx Analytics 8.5
- And all currently supported versions
説明
- Apache log4jの修正に関するカスタマーアラートと推奨事項により、脆弱性CVE-2021-44228が特定されました。この脆弱性は、PTC Softwareがアプリケーションエラー、イベント、および関連情報のログ記録に使用するサードパーティライブラリにあります。悪用された場合の脆弱性により、ご使用の環境でリモートおよび潜在的に悪意のあるコードが実行される可能性があります。
- この脆弱性は、8.5、9.0、9.1、9.2を含むThingWorxプラットフォームバージョンのメンテナンスバージョンで、log4jライブラリを更新するか、ソフトウェアからその使用法を削除することで修正されます。
- 暫定的に、脆弱性を取り除く構成設定が存在する可能性があります。これは、この記事で特定されているPTCThingWorxのインストールとコンポーネントにすぐに適用することをお勧めします。
- PTCは、修復が必要なカスタムソリューションでのLog4Jのサードパーティによる使用について責任を負わないことに注意してください。これは、ThingWorx製品スイートにリストされているすべてのアイテムに適用されます。
Log4j 2.xは、次の脆弱性を報告しています。
CVE-2021-44228 :
説明:Log4j JNDI機能は、攻撃者が制御するLDAPおよびその他のJNDIエンドポイントから保護しません。
CVE-2021-45105 :
説明:Log4j 2.xは、自己参照ルックアップからの制御されていない再帰から保護せず、サービス拒否(DoS)を引き起こしました
CVE-2021-44832 :
説明:ロギング構成ファイルを変更する権限を持つ攻撃者は、リモートコードを実行できるJNDIURIを参照するデータソースを持つJDBCアペンダーを使用して悪意のある構成を構築する可能性があります。
Log4j 1.xは、次の脆弱性を報告しています。
CVE-2021-4104 :
説明:JMSAppender構成とTopicBindingName、TopicConnectionFactoryBindingNameを使用すると、信頼できないデータが逆シリアル化され、リモートでコードが実行(RCE)が発生します。
CVE-2019-17571 :
説明:信頼できないデータの逆シリアル化に対して脆弱なSocketServerクラスは、リモートコード実行(RCE)を引き起こす可能性があります。
最新バージョンはこちらを参照ください https://www.ptc.com/ja/support/article/CS358901