1. 主页
  2. 支持
技术文章 - CS358990

PTC Axeda Products Apache log4j 漏洞 - 事件响应

已修改: 02-Feb-2022   


注意:本文已使用机器翻译软件翻译,以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意, PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在 此处 查看本文的英文原始版本以便参考。有关机器翻译的更多详情,请单击 此处
感谢您告诉我们。我们将尽快审阅此译文。

适用于

  • Axeda - Platform 6.9.2

说明

  • 客户警报和修复Apache log4j已识别漏洞CVE-2021-44228、CVE-2021-45105、CVE-2021-4104、CVE-2019-17571CVE-2021-44832 的建议
  • 此漏洞位于 PTC 软件用于记录应用程序错误、事件和相关信息的第三方库中
  • 如果被利用,该漏洞允许在您的环境中远程执行潜在的恶意代码。
  • 在此期间,可能存在将消除漏洞的配置设置,建议立即将其应用于本文中确定的 PTC Axeda安装和组件
  • Log4j 2.x报告了以下漏洞:
    • CVE-2021-44228
      • 描述:Log4j JNDI 功能,不能防止攻击者控制的 LDAP 和其他 JNDI 端点
    • CVE-2021-45105
      • 描述:Log4j 2.x 没有防止不受控制的递归自引用查找,导致拒绝服务 (DoS)
    • CVE-2021-44832:
      • 描述:具有修改日志配置文件权限的攻击者可以使用 JDBC Appender 构造恶意配置,其数据源引用可以执行远程代码的 JNDI URI。
  • Log4j 1.x报告了以下漏洞:
    • CVE-2021-4104
      • 描述:JMSAppender 配置连同 TopicBindingName、TopicConnectionFactoryBindingName 导致对不受信任的数据进行反序列化,从而导致远程代码执行 (RCE)
    • CVE-2019-17571
      • 描述: SocketServer 类易受不可信数据反序列化的影响,可能导致远程代码执行(RCE)
这是文章 358990 的 PDF 版本,可能已过期。最新版本 CS358990