アーティクル - CS359011
Apache Log4j 2.x のセキュリティ脆弱性による Solr (Windchill) への影響
修正日: 05-Jan-2024
適用対象
- Windchill PDMLink 12.0.2.0 to 12.0.2.4
- Windchill PDMLink 12.0.2.0 to 12.0.2.4
- Windchill PDMLink 11.0 M030
- Windchill PDMLink 11.1 M020
- Windchill PDMLink 11.2.1.0
- Windchill PDMLink 12.0.2.0
説明
最終更新: 2022 年 1 月 19 日午後 4 時 EST (下記のバージョン履歴を参照)
重大なゼロデイ脆弱性がサードパーティ ライブラリ log4j で報告されています。この記事は、サードパーティがサポートする Windchill との統合製品としての Solr に関連する情報と推奨アクションをお客様に提供するために作成されました。
分析と調査は進行中です。 Apache log4j の新しい脆弱性が報告されるか、新たに推奨される緩和策が特定されると、この記事は更新されます。この記事を定期的にチェックして追加の更新情報を確認し、最新の情報を入手してください。
CVE-2021-44228
基本 CVSS スコア: 10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
上記の CVE に関連して、次の脆弱性が報告されています。ただし、優先的に対処することもお勧めします。
CVE-2021-45046
基本CVSSスコア:9.0 CVS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
上記の CVE の脆弱な Apache log4j バージョン: 2.0-beta9 から 2.15.0 までのすべてのバージョン
次の CVE は、log4j バージョン 2.0-beta から 2.16 に対して Apache によって報告されました。
CVE-2021-45105
基本 CVSS スコア:7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Apache によって、Log4j 2.17 に対して次の CVE が報告されました。
CVE-2021-44832
基本CVSSスコア:6.6 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE の脆弱な Apache Log4j バージョン: 2.0-beta7 ~ 2.17.0
詳細については、Apache の記事を参照してください。
https://logging.apache.org/log4j/2.x/security.html
バージョン履歴の更新:
重大なゼロデイ脆弱性がサードパーティ ライブラリ log4j で報告されています。この記事は、サードパーティがサポートする Windchill との統合製品としての Solr に関連する情報と推奨アクションをお客様に提供するために作成されました。
分析と調査は進行中です。 Apache log4j の新しい脆弱性が報告されるか、新たに推奨される緩和策が特定されると、この記事は更新されます。この記事を定期的にチェックして追加の更新情報を確認し、最新の情報を入手してください。
CVE-2021-44228
基本 CVSS スコア: 10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
上記の CVE に関連して、次の脆弱性が報告されています。ただし、優先的に対処することもお勧めします。
CVE-2021-45046
基本CVSSスコア:9.0 CVS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
上記の CVE の脆弱な Apache log4j バージョン: 2.0-beta9 から 2.15.0 までのすべてのバージョン
次の CVE は、log4j バージョン 2.0-beta から 2.16 に対して Apache によって報告されました。
CVE-2021-45105
基本 CVSS スコア:7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Apache によって、Log4j 2.17 に対して次の CVE が報告されました。
CVE-2021-44832
基本CVSSスコア:6.6 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE の脆弱な Apache Log4j バージョン: 2.0-beta7 ~ 2.17.0
詳細については、Apache の記事を参照してください。
https://logging.apache.org/log4j/2.x/security.html
バージョン履歴の更新:
更新日時 | コメント |
2021 年 12 月 14 日午後 6 時 EST | 初期コンテンツ |
2021 年 12 月 15 日午後 6 時 EST | CVE-2021-45046および 提供された回避策の明確さ |
2012/12/16 午後 4:00 EST | 新しい推奨される回避策と追加のバージョン詳細を含む解決策を更新します。 |
2021年12月20日 | CVE-2021-45105 を追加しました Prometheus Exporter に関するメモを追加 質問に対処するために更新された回避策手順 |
2021年12月21日 | 一般的なスペルと文言の更新 スタンドアロン モードとクラウド モードの両方の解決策のステップ 3 の説明 |
2021年12月22日 | Solr の Prometheus Exporter に関するメモを明確にしました |
2021年12月23日 | CVE-2021-45105修復情報を追加しました |
2021年12月29日 | CVE-2021-44832を含むように更新されました Windchill 11.0 M030 を含むように更新されました。 |
2022 年 1 月 3 日 | テキスト/ハイパーリンクのタイプミスを修正 |
2022 年 1 月 5 日 | スタンドアロン モードとクラウド モードの両方のアップグレード手順を明確にしました。 |
2022 年 1 月 7 日 | Lucidworks による CVE-2021-44832 の分析を更新しました |
2022 年 1 月 10 日 | スタンドアロン モードのアップグレード手順を明確にしました。 |
2022 年 1 月 19 日 | Solr への影響についての説明を追加 |
2022 年 2 月 11 日 | 12.0.2 CPS リリースの詳細を追加 |
2022 年 3 月 8 日 | Log4j 2.16.0 を含む Solr 8.11.1 に更新される今後の Windchill CPS リリースの詳細を追加しました。 |
最新バージョンはこちらを参照ください CS359011