アーティクル - CS359011

Apache Log4j 2.x のセキュリティ脆弱性による Solr (Windchill) への影響

修正日: 26-Oct-2023   


注記:ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。
お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

適用対象

  • Windchill PDMLink 12.0.2.0 to 12.0.2.4
  • Windchill PDMLink 12.0.2.0 to 12.0.2.4
  • Windchill PDMLink 11.0 M030
  • Windchill PDMLink 11.1 M020
  • Windchill PDMLink 11.2.1.0
  • Windchill PDMLink 12.0.2.0

説明

最終更新: 2022 年 1 月 19 日午後 4 時 EST (下記のバージョン履歴を参照)

重大なゼロデイ脆弱性がサードパーティ ライブラリ log4j で報告されています。この記事は、サードパーティがサポートする Windchill との統合製品としての Solr に関連する情報と推奨アクションをお客様に提供するために作成されました。

分析と調査は進行中です。 Apache log4j の新しい脆弱性が報告されるか、新たに推奨される緩和策が特定されると、この記事は更新されます。この記事を定期的にチェックして追加の更新情報を確認し、最新の情報を入手してください。

CVE-2021-44228
基本 CVSS スコア: 10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

上記の CVE に関連して、次の脆弱性が報告されています。ただし、優先的に対処することもお勧めします。
CVE-2021-45046
基本CVSSスコア:9.0 CVS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
上記の CVE の脆弱な Apache log4j バージョン: 2.0-beta9 から 2.15.0 までのすべてのバージョン

次の CVE は、log4j バージョン 2.0-beta から 2.16 に対して Apache によって報告されました。
CVE-2021-45105
基本 CVSS スコア:7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Apache によって、Log4j 2.17 に対して次の CVE が報告されました。
CVE-2021-44832
基本CVSSスコア:6.6 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE の脆弱な Apache Log4j バージョン: 2.0-beta7 ~ 2.17.0

詳細については、Apache の記事を参照してください。
https://logging.apache.org/log4j/2.x/security.html

バージョン履歴の更新:
更新日時コメント
2021 年 12 月 14 日午後 6 時 EST初期コンテンツ
2021 年 12 月 15 日午後 6 時 EST CVE-2021-45046および
提供された回避策の明確さ
2012/12/16 午後 4:00 EST新しい推奨される回避策と追加のバージョン詳細を含む解決策を更新します。
2021年12月20日CVE-2021-45105 を追加しました
Prometheus Exporter に関するメモを追加
質問に対処するために更新された回避策手順
2021年12月21日一般的なスペルと文言の更新
スタンドアロン モードとクラウド モードの両方の解決策のステップ 3 の明確化
2021年12月22日Solr の Prometheus Exporter に関するメモを明確にしました
2021年12月23日CVE-2021-45105修復情報を追加しました
2021年12月29日CVE-2021-44832を含むように更新されました
Windchill 11.0 M030 を含むように更新されました。
2022 年 1 月 3 日テキスト/ハイパーリンクのタイプミスを修正
2022 年 1 月 5 日スタンドアロン モードとクラウド モードの両方のアップグレード手順を明確にしました。
2022 年 1 月 7 日Lucidworks による CVE-2021-44832 の分析を更新しました
2022 年 1 月 10 日スタンドアロン モードのアップグレード手順を明確にしました。
2022 年 1 月 19 日Solr への影響についての説明を追加
2022 年 2 月 11 日12.0.2 CPS リリースの詳細を追加
2022 年 3 月 8 日Log4j 2.16.0 を含む Solr 8.11.1 に更新される今後の Windchill CPS リリースの詳細を追加しました。
最新バージョンはこちらを参照ください CS359011