アーティクル - CS358901

ThingWorxApachelog4jの脆弱性-インシデントレスポンス

修正日: 03-May-2022   


注記:ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。
お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

適用対象

  • ThingWorx Platform 8.1 to 8.5
  • ThingWorx Platform 9.0
  • ThingWorx Platform 9.1
  • ThingWorx Platform 9.2
  • ThingWorx Analytics 8.5
  • ThingWorx Analytics 9.0
  • ThingWorx Analytics 9.1
  • ThingWorx Analytics 9.2
  • And all currently supported versions

説明

  • Apache log4jの修正に関するカスタマーアラートと推奨事項により、脆弱性CVE-2021-44228が特定されました。この脆弱性は、PTC Softwareがアプリケーションエラー、イベント、および関連情報のログ記録に使用するサードパーティのライブラリにあります。悪用された場合の脆弱性により、ご使用の環境でリモートおよび潜在的に悪意のあるコードが実行される可能性があります。
  • この脆弱性は、8.5、9.0、9.1、9.2を含むThingWorxプラットフォームバージョンのメンテナンスバージョンで、log4jライブラリを更新するか、ソフトウェアからその使用法を削除することで修正されます。
  • 暫定的に、脆弱性を取り除く構成設定が存在する可能性があります。これは、この記事で特定されているPTCThingWorxのインストールとコンポーネントにすぐに適用することをお勧めします。
  • PTCは、修復が必要なカスタムソリューションでのLog4Jのサードパーティによる使用について責任を負わないことに注意してください。これは、ThingWorx製品スイートにリストされているすべてのアイテムに適用されます。
  • Log4j 2.xは、次の脆弱性を報告しています。

    • CVE-2021-44228

      • 説明:Log4j JNDI機能は、攻撃者が制御するLDAPおよびその他のJNDIエンドポイントから保護しません。

    • CVE-2021-45105

      • 説明:Log4j 2.xは、自己参照ルックアップからの制御されていない再帰から保護せず、サービス拒否(DoS)を引き起こしました

    • CVE-2021-44832

      • 説明:ロギング構成ファイルを変更する権限を持つ攻撃者は、リモートコードを実行できるJNDIURIを参照するデータソースを持つJDBCアペンダーを使用して悪意のある構成を構築する可能性があります。

  • Log4j 1.xは、次の脆弱性を報告しています。

    • CVE-2021-4104

      • 説明:JMSAppender構成とTopicBindingName、TopicConnectionFactoryBindingNameを使用すると、信頼できないデータが逆シリアル化され、リモートでコードが実行(RCE)が発生します。

    • CVE-2019-17571

      • 説明:信頼できないデータの逆シリアル化に対して脆弱なSocketServerクラスは、リモートコード実行(RCE)を引き起こす可能性があります。

最新バージョンはこちらを参照ください https://www.ptc.com/ja/support/article/cs358901