アーティクル - CS359009
Apache Log4J 1.xセキュリティの脆弱性(CVE-2021-4104、CVE-2019-17571、CVE-2022-23302、CVE-2022-23305、およびCVE-2022-23307)–WindchillPLMおよびFLexPLMへの影響
修正日: 28-Apr-2022
適用対象
- FlexPLM 11.1 M010 to M020
- Windchill PDMLink 11.0 M030
- FlexPLM 11.0 M030
- Windchill PDMLink 11.1 M020
- Windchill PDMLink 11.2.1.0
- FlexPLM 11.2.1.0
- FlexPLM 12.0.0.0
説明
ApacheLog4j1.xに対して複数のCVEが報告されています。サポートされていないことがわかっているため、Windchill PLMへの既知の影響を確認するために、分析と正当化が提供されます。
上記の[適用先]領域で指定された製品リリースには、すべてlog4j1.2.17バージョンが含まれています。
識別されたCVEの脆弱なApacheLog4jバージョン:1.2.17までのすべての1.2.Xバージョン
CVE-2021-4104
Log4j 1.xでは、log4jの構成ファイルでJMSAppenderが有効になっている場合、JMSAppenderはJNDIルックアップを実行します。 Log4j 1.xを使用するアプリケーションは、構成でJNDI(JMSAppender)を使用している場合に影響を受ける可能性があります。
基本CVSSスコア:7.5 CVSS:3.1 / AV:N / AC:H / PR:L / UI:N / S:U / C:H / I:H / A:H
Red HatはRHSB-2021-009( CVE-2021-4104 )を識別しました
https://access.redhat.com/security/cve/CVE-2021-4104
Redhat Bugzillaの記事には、追加の詳細が含まれています。
バージョン1.xのJavaロギングライブラリApacheLog4jに欠陥が見つかりました。これにより、デプロイされたアプリケーションがJMSAppenderを使用するように構成されている場合、リモートの攻撃者がサーバー上でコードを実行できるようになります。
CVE-2021-4104は、製品がJMSAppenderを使用するように特別に構成されている場合にのみ、Log4j 1.2に影響します。これは、WindchillのOOTB構成ではありません。
CVE-2019-17571
Log4j 1.2には、信頼できないデータの逆シリアル化に対して脆弱なSocketServerクラスが含まれています。これは、ログデータの信頼できないネットワークトラフィックをリッスンするときに逆シリアル化ガジェットと組み合わせると、任意のコードをリモートで実行するために悪用される可能性があります。
基本CVSSスコア:9.8CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H
CVE-2022-23302
基本スコア:8.8ベクトル:CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:U / C:H / I:H / A:H
脆弱なApacheLog4jバージョン:1.x
Log4j 1.xのすべてのバージョンのJMSSinkは、攻撃者がLog4j構成への書き込みアクセス権を持っている場合、または構成が攻撃者がアクセスできるLDAPサービスを参照している場合、信頼できないデータの逆シリアル化に対して脆弱です。攻撃者はTopicConnectionFactorBinderingName構成を提供して、JMSSinkにJNDI要求を実行させ、CVE-2021-4104と同様の方法でリモートコードが実行される可能性があります。
この問題は、デフォルトではないJMSSinkを使用するように特別に構成されている場合にのみLog4j1.xに影響することに注意してください。
Redhatの記事には詳細が含まれています:
バージョン1.xのJavaロギングライブラリApacheLog4jに欠陥が見つかりました。これにより、デプロイされたアプリケーションがJMSSinkを使用するように構成されている場合、リモートの攻撃者がサーバー上でコードを実行できるようになります。
CVE-2022-23305
基本スコア:9.8ベクトル:CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H
脆弱なApacheLog4jバージョン:1.2.x
CVEは、Log4j 1.2.xのJDBCAppenderが、挿入される値がPatternLayoutからのコンバーターである構成パラメーターとしてSQLステートメントを受け入れることを読み取ります。メッセージコンバータ%mは、常に含まれている可能性があります。これにより、攻撃者は、ログに記録されたアプリケーションの入力フィールドまたはヘッダーに細工された文字列を入力してSQLを操作し、意図しないSQLクエリを実行できるようになります。
このCVEは、Log4j 1.2.xを使用し、WindchillのOOTB構成ではないJDBCAppenderを使用するように特別に構成されたアプリケーションにのみ影響します。
CVE-2022-23307
基本スコア:9.8ベクトル:CVSS3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H
脆弱なApacheLog4jバージョン:1.2.x
Log4j 1.2.xのログビューアであるChainsawに逆シリアル化の問題があり、任意のコードが実行される可能性があります。この脆弱性は以前はCVE-2020-9493と呼ばれていましたが、これを修正するために公式のApacheChainsaw2.1.0バージョンがリリースされました。 Log4jは、デフォルトでチェーンソーを使用するように構成されていません。
Redhatによると、log4j 1.xチェーンソーコンポーネントに欠陥が見つかりました。特定のログエントリの内容が逆シリアル化され、コードの実行が許可される可能性があります。
このCVEは、Chainsawを使用するアプリケーションにのみ影響し、SocketAppenderを使用して送信されたLoggingEventオブジェクトをリッスンする機能です。これは、OOTB Windchill構成では有効になっておらず、Windchillコードベースからも呼び出されません。
追記:
Log4j 1.xは、Log4j2.xに対して報告されたCVE-2021-44228の影響を受けないことが確認されています。 CS358789を参照してください
サードパーティのバンドルコンポーネントへの影響:
上記の[適用先]領域で指定された製品リリースには、すべてlog4j1.2.17バージョンが含まれています。
識別されたCVEの脆弱なApacheLog4jバージョン:1.2.17までのすべての1.2.Xバージョン
CVE-2021-4104
Log4j 1.xでは、log4jの構成ファイルでJMSAppenderが有効になっている場合、JMSAppenderはJNDIルックアップを実行します。 Log4j 1.xを使用するアプリケーションは、構成でJNDI(JMSAppender)を使用している場合に影響を受ける可能性があります。
基本CVSSスコア:7.5 CVSS:3.1 / AV:N / AC:H / PR:L / UI:N / S:U / C:H / I:H / A:H
Red HatはRHSB-2021-009( CVE-2021-4104 )を識別しました
https://access.redhat.com/security/cve/CVE-2021-4104
Redhat Bugzillaの記事には、追加の詳細が含まれています。
バージョン1.xのJavaロギングライブラリApacheLog4jに欠陥が見つかりました。これにより、デプロイされたアプリケーションがJMSAppenderを使用するように構成されている場合、リモートの攻撃者がサーバー上でコードを実行できるようになります。
CVE-2021-4104は、製品がJMSAppenderを使用するように特別に構成されている場合にのみ、Log4j 1.2に影響します。これは、WindchillのOOTB構成ではありません。
CVE-2019-17571
Log4j 1.2には、信頼できないデータの逆シリアル化に対して脆弱なSocketServerクラスが含まれています。これは、ログデータの信頼できないネットワークトラフィックをリッスンするときに逆シリアル化ガジェットと組み合わせると、任意のコードをリモートで実行するために悪用される可能性があります。
基本CVSSスコア:9.8CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H
- SocketServer / SimpleSocketServerの脆弱なクラスの使用法は、LogingEventオブジェクトをリモートのログサーバー(通常はSocketNode)に送信するLog4JのSocketAppenderの機能として明らかになります。 SocketNodeは、ソケット(TCP)を使用してリモートクライアントから送信されたLoggingEventオブジェクトを読み取ります。これらのログイベントは、ローカルで生成されたかのように、ローカルポリシーに従ってログに記録されます。 SocketAppendersは、サーバー側にレイアウトなしでシリアル化されたLoggingEventオブジェクトを出荷します。リモートホストでは、逆シリアル化することにより、すべて同じ情報にアクセスでき、ログが印刷されるレイアウトを指定できるはずです。
- SocketServerクラス(脆弱性が存在する場合)を介してリモートログにアクセスするlog4j機能は、Windchill OOTBでは有効になっておらず、Windchillコードベースからのそのような呼び出しはありません。さらに、機能の有効化/実行について言及しているWindchillのドキュメントはありません。
CVE-2022-23302
基本スコア:8.8ベクトル:CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:U / C:H / I:H / A:H
脆弱なApacheLog4jバージョン:1.x
Log4j 1.xのすべてのバージョンのJMSSinkは、攻撃者がLog4j構成への書き込みアクセス権を持っている場合、または構成が攻撃者がアクセスできるLDAPサービスを参照している場合、信頼できないデータの逆シリアル化に対して脆弱です。攻撃者はTopicConnectionFactorBinderingName構成を提供して、JMSSinkにJNDI要求を実行させ、CVE-2021-4104と同様の方法でリモートコードが実行される可能性があります。
この問題は、デフォルトではないJMSSinkを使用するように特別に構成されている場合にのみLog4j1.xに影響することに注意してください。
Redhatの記事には詳細が含まれています:
バージョン1.xのJavaロギングライブラリApacheLog4jに欠陥が見つかりました。これにより、デプロイされたアプリケーションがJMSSinkを使用するように構成されている場合、リモートの攻撃者がサーバー上でコードを実行できるようになります。
CVE-2022-23305
基本スコア:9.8ベクトル:CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H
脆弱なApacheLog4jバージョン:1.2.x
CVEは、Log4j 1.2.xのJDBCAppenderが、挿入される値がPatternLayoutからのコンバーターである構成パラメーターとしてSQLステートメントを受け入れることを読み取ります。メッセージコンバータ%mは、常に含まれている可能性があります。これにより、攻撃者は、ログに記録されたアプリケーションの入力フィールドまたはヘッダーに細工された文字列を入力してSQLを操作し、意図しないSQLクエリを実行できるようになります。
このCVEは、Log4j 1.2.xを使用し、WindchillのOOTB構成ではないJDBCAppenderを使用するように特別に構成されたアプリケーションにのみ影響します。
CVE-2022-23307
基本スコア:9.8ベクトル:CVSS3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H
脆弱なApacheLog4jバージョン:1.2.x
Log4j 1.2.xのログビューアであるChainsawに逆シリアル化の問題があり、任意のコードが実行される可能性があります。この脆弱性は以前はCVE-2020-9493と呼ばれていましたが、これを修正するために公式のApacheChainsaw2.1.0バージョンがリリースされました。 Log4jは、デフォルトでチェーンソーを使用するように構成されていません。
Redhatによると、log4j 1.xチェーンソーコンポーネントに欠陥が見つかりました。特定のログエントリの内容が逆シリアル化され、コードの実行が許可される可能性があります。
このCVEは、Chainsawを使用するアプリケーションにのみ影響し、SocketAppenderを使用して送信されたLoggingEventオブジェクトをリッスンする機能です。これは、OOTB Windchill構成では有効になっておらず、Windchillコードベースからも呼び出されません。
追記:
Log4j 1.xは、Log4j2.xに対して報告されたCVE-2021-44228の影響を受けないことが確認されています。 CS358789を参照してください
| Windchillリリース | ApacheLog4jバージョン | 追加情報 |
| 11.0 M030 | log4j 1.x | 早急な対応を強くお勧めします(PTCの推奨事項については解決策のセクションを参照してください) |
| 11.1M020以前 11.2.1 FlexPLM 11.1 M010 FlexPLM 11.1 M020 FlexPLM 11.2.1 FlexPLM 12.0.0 | log4j 1.x | 早急な対応を強くお勧めします(PTCの推奨事項については解決のセクションを参照してください) |
サードパーティのバンドルコンポーネントへの影響:
- サポートされているサードパーティのバンドルコンポーネントも脆弱である可能性があります
- Solr
- Cognos
- Tibco
- PTCは、特定の各ベンダーと協力して、影響、悪用可能性、および推奨されるアクションを決定しています。さらに、セキュリティリスクを軽減するための可能な暫定的な手順を決定するために、内部調査が進行中です。
- 各サードパーティコンポーネントの最新の更新については、以下の表(解決セクション)を参照してください。
- FlexPLM –推奨されるアクションに従う必要があります。追加の考慮事項は、利用可能になったとき/利用可能になった場合に提供されます。
- ナビゲート/ThingWorx– CS359107
- PingFederate-分析中
- Wincom –どの拡張機能でもlog4j v1が直接アクティブに使用されたことはありませんが、これまでにありません。ライブラリは、コードの依存関係を満たすために含まれています。分析により、攻撃対象領域や既知の悪用はないことが確認されています。 log4j 1.x参照は、Windchill Extension Platform 1.11.2で削除されましたが、windchill-extensions.ptc.comから入手できる最新のリリース1.12.2に移行することをお勧めします。
最新バージョンはこちらを参照ください CS359009