アーティクル - CS358990
PTCAxeda製品Apachelog4jの脆弱性-インシデント対応
修正日: 02-Feb-2022
適用対象
- Axeda - Platform 6.9.2
説明
- Apache log4jで特定された脆弱性、CVE-2021-44228、CVE-2021-45105、CVE-2021-4104、CVE-2019-17571 、およびCVE-2021-44832の修正に関するカスタマーアラートと推奨事項
- この脆弱性は、PTC Softwareがアプリケーションエラー、イベント、および関連情報のログ記録に使用するサードパーティライブラリにあります。
- 悪用された場合の脆弱性により、ご使用の環境でリモートおよび潜在的に悪意のあるコードが実行される可能性があります。
- 暫定的に、脆弱性を取り除く構成設定がある可能性があります。これは、この記事で特定されているPTCAxedaのインストールとコンポーネントにすぐに適用することをお勧めします。
- Log4j 2.xは、次の脆弱性を報告しています。
- CVE-2021-44228 :
- 説明:Log4j JNDI機能、攻撃者が制御するLDAPおよびその他のJNDIエンドポイントから保護しない
- CVE-2021-45105 :
- 説明:Log4j 2.xは、自己参照ルックアップからの制御されていない再帰から保護せず、サービス拒否(DoS)を引き起こしました
- CVE-2021-44832:
- 説明:ロギング構成ファイルを変更する権限を持つ攻撃者は、リモートコードを実行できるJNDIURIを参照するデータソースを持つJDBCアペンダーを使用して悪意のある構成を構築する可能性があります。
- CVE-2021-44228 :
- Log4j 1.xは、次の脆弱性を報告しています。
- CVE-2021-4104 :
- 説明:JMSAppender構成とTopicBindingName、TopicConnectionFactoryBindingNameを使用すると、信頼できないデータが逆シリアル化され、リモートでコードが実行(RCE)が発生します。
- CVE-2019-17571 :
- 説明:信頼できないデータの逆シリアル化に対して脆弱なSocketServerクラスは、リモートコード実行(RCE)を引き起こす可能性があります
- CVE-2021-4104 :
最新バージョンはこちらを参照ください CS358990