アーティクル - CS359107
ThingWorxナビゲートApachelog4jの脆弱性-インシデントレスポンス
修正日: 23-Dec-2021
適用対象
- Windchill Navigate (formerly ThingWorx Navigate) 9.2
- Windchill Navigate (formerly ThingWorx Navigate) 9.0
- Windchill Navigate (formerly ThingWorx Navigate) 9.1
説明
- Log4j 1.x(インシデントCVE-2021-4104)
- ナビゲートランタイムアプリケーション自体はlog4j1.xを使用しないため脆弱ではありませんが、ナビゲートはThingWorxで実行されます。 ThingWorx Apachelog4jの脆弱性でThingWorxの推奨事項を確認してください-インシデントレスポンス
- ThingWorxNavigateインストーラーツールはlog4j1.xを利用しますが、JMSAppenderが構成されていません。 したがって、CVE-2021-4104によると、ThingWorxナビゲートは脆弱ではありませんが、十分な注意を払って、影響を受けるクラスを完全に削除することをお勧めします
- ThingWorxNavigateインストーラーツールはlog4jバージョン1.2.17を使用しています
- Log4j 1.2.17は、Navigate 9.0、9.1、および9.2インストーラーファイルに存在します
- Log4j 2.x(インシデントCVE-2021-44228およびCVE-2021-45046)
- ナビゲートランタイムアプリケーション自体はlog4j2.xを使用しないため、脆弱性はありませんが、ナビゲートはThingWorxで実行されます。 ThingWorx Apachelog4jの脆弱性でThingWorxの推奨事項を確認してください-インシデントレスポンス
- ナビゲート構成ツールはlog4j2.xを活用します。 ThingWorxナビゲートをすでにインストールしている場合、log4jライブラリはディスク上に存在しますが、ランタイムアプリケーションでは使用されません。
- ThingWorxナビゲート構成ツールはlog4jバージョン2.13.3を使用しており、Navigateは、影響を受けるクラスを完全に削除するApache提案の修復を実装することを推奨しています。
- Log4j 2.13.3は、Navigate9.1および9.2構成ツールファイルに存在します
- Log4j 1.x(インシデントCVE-2019-17571)
- ナビゲートランタイムアプリケーション自体はlog4j1.xを使用しないため脆弱ではありませんが、ナビゲートはThingWorxで実行されます。 ThingWorx Apachelog4jの脆弱性でThingWorxの推奨事項を確認してください-インシデントレスポンス
- ThingWorxNavigateインストーラツールはlog4j1.xを利用しますが、SocketServerクラス(脆弱性が存在する場合)を介したリモートログへのアクセスを有効にしません。 SocketServer / SimpleSocketServerクラスは使用されていないため、NavigateはCVE-2019-17571の影響を受けないと判断されます。
最新バージョンはこちらを参照ください CS359107