アーティクル - CS359007

ApacheLog4j2.xのセキュリティの脆弱性がIBMCognosに与える影響

修正日: 12-May-2022   


注記:ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。
お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

適用対象

  • Windchill PDMLink 11.0 M030
  • Windchill PDMLink 11.1 M020
  • Windchill PDMLink 11.2.1.0
  • Windchill PDMLink 12.0.2.0

説明

最終更新日:2022年3月29日午前11時30分EST(下記のバージョン履歴を参照)

重大なゼロデイ脆弱性がサードパーティのライブラリlog4jで報告されています。この記事は、サードパーティがサポートするWindchillとの統合製品として、Cognosに関連する情報と推奨されるアクションを顧客に提供するために作成されました。

分析と調査は進行中です。 Apache Log4jの新しい脆弱性が報告されるか、新しい推奨される緩和策が特定されると、この記事が更新されます。最新の詳細を確認するために、定期的に追加の更新を確認してください。

CVE-2021-44228
基本CVSSスコア:10.0 CVSS:3.0 / AV:N / AC:L / PR:N / UI:N / S:C / C:H / I:H / A:H

上記のCVEに関連する、それほど重大ではない追加の脆弱性も報告されています。これにも優先的に対処することをお勧めします。
CVE-2021-45046

上記のCVEの脆弱なApachelog4j バージョン:2.0-beta9から2.15.0までのすべてのバージョン

次のCVEは、log4j2.16に対してApacheによって報告されました。
CVE-2021-45105
基本CVSSスコア:7.5 CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / I:N / A:H
CVEの脆弱なApacheLog4jバージョン:2.0-beta7から2.16

次のCVEは、Log4j2.17に対してApacheによって報告されました。
CVE-2021-44832
基本スコア:6.6 CVSS:3.1 / AV:N / AC:H / PR:H / UI:N / S:U / C:H / I:H / A:H
CVEの脆弱なApacheLog4jバージョン:2.0-beta7から2.17.0。

詳細については、Apacheの記事を参照してください。
https://logging.apache.org/log4j/2.x/security.html


バージョン履歴の更新:
更新日時 コメントコメント
2021年12月14日6:00PMEST 初期コンテンツ
2021年12月15日午後6時EST CVE-2021-45046を含むように更新
2021年12月16日午後5時EST IBM暫定修正へのリンクを追加
2021年12月17日午後5時EST IBM提供のホットフィックスを適用する手順を含むように解決策を更新
2021年12月20日午後6時EST CVE-2021-45105を追加
提供された回避策のステップ6に説明を追加しました
2021年12月23日 Windchillリリースバージョンの詳細表で指定されている修正済みリリース
CognosのIBMセキュリティ情報へのリンクを追加しました
Cognosホットフィックスを適用する手順の複数の手順を明確にしました
インストールに既存のlog4jjarに関するメモを追加しました
2021年12月29日 CVE-2021-44832を含むように更新
WIndchill11.0M030を含むように更新
2022年1月5日 インストール時の既存のlog4jjarに関する注記に追加の説明が提供されました
1/6 / 2022、1 / 7/2022 CognosHotfixを適用するためのいくつかの手順の詳細を明確にしました
2022年1月19日 Cognosバージョン11.1.7IF8の推奨CPSアップデートを提供するように更新されました。
2022年1月31日 CVE-2021-45105およびCVE-2021-44832のIBM分析を更新しました。どちらもIBMCognosAnalytics11.1.7IF8で対応しています。
2022年2月2日 IF8の詳細の明確化
2022年2月3日 Cognos Analytics11.1.7IF8を含むWindchillリリースの詳細を追加しました
2022年3月18日 Cognos Analytics11.1.7IF8を適用するための詳細を明確にしました
2022年3月29日 Windchill 11.1M020CPS24のリリース日を3月16日として確認
2022年5月11日 Cognos Analytics11.1.7IF9に関連する詳細を提供するように更新

最新バージョンはこちらを参照ください CS359007