アーティクル - CS358990

PTCAxeda製品Apachelog4jの脆弱性-インシデント対応

修正日: 02-Feb-2022   


注記:ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。
お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

適用対象

  • Axeda - Platform 6.9.2

説明

  • Apache log4jで特定された脆弱性、CVE-2021-44228、CVE-2021-45105、CVE-2021-4104、CVE-2019-17571 、およびCVE-2021-44832の修正に関するカスタマーアラートと推奨事項
  • この脆弱性は、PTC Softwareがアプリケーションエラー、イベント、および関連情報のログ記録に使用するサードパーティライブラリにあります。
  • 悪用された場合の脆弱性により、ご使用の環境でリモートおよび潜在的に悪意のあるコードが実行される可能性があります。
  • 暫定的に、脆弱性を取り除く構成設定がある可能性があります。これは、この記事で特定されているPTCAxedaのインストールとコンポーネントにすぐに適用することをお勧めします。
  • Log4j 2.xは、次の脆弱性を報告しています。
    • CVE-2021-44228
      • 説明:Log4j JNDI機能、攻撃者が制御するLDAPおよびその他のJNDIエンドポイントから保護しない
    • CVE-2021-45105
      • 説明:Log4j 2.xは、自己参照ルックアップからの制御されていない再帰から保護せず、サービス拒否(DoS)を引き起こしました
    • CVE-2021-44832:
      • 説明:ロギング構成ファイルを変更する権限を持つ攻撃者は、リモートコードを実行できるJNDIURIを参照するデータソースを持つJDBCアペンダーを使用して悪意のある構成を構築する可能性があります。
  • Log4j 1.xは、次の脆弱性を報告しています。
    • CVE-2021-4104
      • 説明:JMSAppender構成とTopicBindingName、TopicConnectionFactoryBindingNameを使用すると、信頼できないデータが逆シリアル化され、リモートでコードが実行(RCE)が発生します。
    • CVE-2019-17571
      • 説明:信頼できないデータの逆シリアル化に対して脆弱なSocketServerクラスは、リモートコード実行(RCE)を引き起こす可能性があります
最新バージョンはこちらを参照ください CS358990