アーティクル - CS359011
Apache Log4j 2.xセキュリティの脆弱性がSolrに与える影響(Windchill)
修正日: 31-Mar-2022
適用対象
- Windchill PDMLink 11.1 M020
- Windchill PDMLink 11.2.1.0
- Windchill PDMLink 12.0.2.0
- Windchill PDMLink 11.0 M030
説明
最終更新日:2022年1月19日午後4時EST(以下のバージョン履歴を参照)
重大なゼロデイ脆弱性がサードパーティライブラリlog4jで報告されています。この記事は、サードパーティがサポートするWindchillとの統合製品として、Solrに関連する情報と推奨されるアクションを顧客に提供するために作成されました。
分析と調査は進行中です。 Apache log4jの新しい脆弱性が報告されるか、新しい推奨される緩和策が特定されると、この記事は更新されます。この記事を定期的にチェックして、最新の詳細を確認するための追加の更新を確認してください。
CVE-2021-44228
基本CVSSスコア:10.0 CVSS:3.0 / AV:N / AC:L / PR:N / UI:N / S:C / C:H / I:H / A:H
上記のCVEに関連する以下の脆弱性が報告されています。ただし、優先的に対処することもお勧めします。
CVE-2021-45046
基本CVSSスコア:9.0CVS:3.1 / AV:N / AC:H / PR:N / UI:N / S:C / C:H / I:H / A:H
上記のCVEの脆弱なApachelog4jバージョン:2.0-beta9から2.15.0までのすべてのバージョン
次のCVEは、log4jバージョン2.0-betaから2.16に対してApacheによって報告されました。
CVE-2021-45105
基本CVSSスコア:7.5CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H
次のCVEは、Log4j2.17に対してApacheによって報告されました。
CVE-2021-44832
基本CVSSスコア:6.6CVSS:3.1 / AV:N / AC:H / PR:H / UI:N / S:U / C:H / I:H / A:H
CVEの脆弱なApacheLog4jバージョン:2.0-beta7から2.17.0
詳細については、Apacheの記事を参照してください。
https://logging.apache.org/log4j/2.x/security.html
バージョン履歴の更新:
重大なゼロデイ脆弱性がサードパーティライブラリlog4jで報告されています。この記事は、サードパーティがサポートするWindchillとの統合製品として、Solrに関連する情報と推奨されるアクションを顧客に提供するために作成されました。
分析と調査は進行中です。 Apache log4jの新しい脆弱性が報告されるか、新しい推奨される緩和策が特定されると、この記事は更新されます。この記事を定期的にチェックして、最新の詳細を確認するための追加の更新を確認してください。
CVE-2021-44228
基本CVSSスコア:10.0 CVSS:3.0 / AV:N / AC:L / PR:N / UI:N / S:C / C:H / I:H / A:H
上記のCVEに関連する以下の脆弱性が報告されています。ただし、優先的に対処することもお勧めします。
CVE-2021-45046
基本CVSSスコア:9.0CVS:3.1 / AV:N / AC:H / PR:N / UI:N / S:C / C:H / I:H / A:H
上記のCVEの脆弱なApachelog4jバージョン:2.0-beta9から2.15.0までのすべてのバージョン
次のCVEは、log4jバージョン2.0-betaから2.16に対してApacheによって報告されました。
CVE-2021-45105
基本CVSSスコア:7.5CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H
次のCVEは、Log4j2.17に対してApacheによって報告されました。
CVE-2021-44832
基本CVSSスコア:6.6CVSS:3.1 / AV:N / AC:H / PR:H / UI:N / S:U / C:H / I:H / A:H
CVEの脆弱なApacheLog4jバージョン:2.0-beta7から2.17.0
詳細については、Apacheの記事を参照してください。
https://logging.apache.org/log4j/2.x/security.html
バージョン履歴の更新:
| 更新日時 | コメントコメント |
| 2021年12月14日午後6時EST | 初期コンテンツ |
| 2021年12月15日午後6時EST | CVE-2021-45046および 提供される回避策の明確さ |
| 2012年12月16日午後4時EST | 新しい推奨される回避策と追加のバージョンの詳細で解決策を更新します |
| 2021年12月20日 | CVE-2021-45105を追加 PrometheusExporterに関するメモを追加しました 質問に対処するための回避策の手順を更新 |
| 2021年12月21日 | 一般的なスペルと文言の更新 スタンドアロンモードとクラウドモードの両方の解決策におけるステップ3の明確化 |
| 2021年12月22日 | SolrのPrometheusExporterに関する明確なメモ |
| 2021年12月23日 | CVE-2021-45105修復情報を追加しました |
| 2021年12月29日 | CVE-2021-44832を含むように更新 Windchill11.0M030を含むように更新 |
| 2022年1月3日 | テキスト/ハイパーリンクのタイプミスを修正しました |
| 2022年1月5日 | スタンドアロンモードとクラウドモードの両方のアップグレード手順を明確化 |
| 2022年1月7日 | LucidworksのCVE-2021-44832の分析を更新 |
| 2022年1月10日 | スタンドアロンモードのアップグレード手順を明確化 |
| 2022年1月19日 | Solrの影響に関する説明を追加 |
| 2022年2月11日 | 12.0.2CPSリリースの詳細を追加 |
| 2022年3月8日 | Log4j2.16.0を含むSolr8.11.1にアップデートする今後のWindchillCPSリリースの詳細を追加しました。 |
最新バージョンはこちらを参照ください https://www.ptc.com/ja/support/article/cs359011