アーティクル - CS359107

ThingWorxナビゲートApachelog4jの脆弱性-インシデントレスポンス

修正日: 23-Dec-2021   


注記:ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。
お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

適用対象

  • ThingWorx Navigate 9.0
  • ThingWorx Navigate 9.1
  • ThingWorx Navigate 9.2

説明

  • Log4j 1.x(インシデントCVE-2021-4104)
    • ナビゲートランタイムアプリケーション自体はlog4j1.xを使用しないため脆弱ではありませんが、ナビゲートはThingWorxで実行されます。 ThingWorx Apachelog4jの脆弱性でThingWorxの推奨事項を確認してください-インシデントレスポンス
    • ThingWorxNavigateインストーラーツールはlog4j1.xを利用しますが、JMSAppenderが構成されていません。 したがって、CVE-2021-4104によると、ThingWorxナビゲートは脆弱ではありませんが、十分な注意を払って、影響を受けるクラスを完全に削除することをお勧めします
    • ThingWorxNavigateインストーラーツールはlog4jバージョン1.2.17を使用しています
    • Log4j 1.2.17は、Navigate 9.0、9.1、および9.2インストーラーファイルに存在します
  • Log4j 2.x(インシデントCVE-2021-44228およびCVE-2021-45046)
    • ナビゲートランタイムアプリケーション自体はlog4j2.xを使用しないため、脆弱性はありませんが、ナビゲートはThingWorxで実行されます。 ThingWorx Apachelog4jの脆弱性でThingWorxの推奨事項を確認してください-インシデントレスポンス
    • ナビゲート構成ツールはlog4j2.xを活用します。 ThingWorxナビゲートをすでにインストールしている場合、log4jライブラリはディスク上に存在しますが、ランタイムアプリケーションでは使用されません。
    • ThingWorxナビゲート構成ツールはlog4jバージョン2.13.3を使用しており、Navigateは、影響を受けるクラスを完全に削除するApache提案の修復を実装することを推奨しています。
    • Log4j 2.13.3は、Navigate9.1および9.2構成ツールファイルに存在します
  • Log4j 1.x(インシデントCVE-2019-17571)
    • ナビゲートランタイムアプリケーション自体はlog4j1.xを使用しないため脆弱ではありませんが、ナビゲートはThingWorxで実行されます。 ThingWorx Apachelog4jの脆弱性でThingWorxの推奨事項を確認してください-インシデントレスポンス
    • ThingWorxNavigateインストーラツールはlog4j1.xを利用しますが、SocketServerクラス(脆弱性が存在する場合)を介したリモートログへのアクセスを有効にしません。 SocketServer / SimpleSocketServerクラスは使用されていないため、NavigateはCVE-2019-17571の影響を受けないと判断されます。
最新バージョンはこちらを参照ください https://www.ptc.com/ja/support/article/CS359107