Article - CS358789
Vulnérabilités de sécurité d'Apache Log4j 2.x (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832) - Impact sur Windchill et FlexPLM
Modifié: 14-Apr-2025
Nous vous remercions pour votre signalement. Nous allons revoir cette traduction dès que possible.
S'applique à
- Windchill PDMLink 11.0 M030
- FlexPLM 11.0 M030
- FlexPLM 11.1 M010
- FlexPLM 11.1 M020
- Windchill PDMLink 11.1 M020
- Windchill PDMLink 11.2.1.0
- FlexPLM 11.2.1.0
- FlexPLM 12.0.0.0
- FlexPLM 12.0.2.0
- Windchill PDMLink 12.1.0.0
- Windchill PDMLink 12.0.2.0
Description
Une vulnérabilité critique de type zero-day a été signalée dans la bibliothèque tierce log4j.
Cet article a été créé pour fournir aux clients des informations et des actions recommandées.
L'analyse et l'enquête sont en cours :
Cet article a été créé pour fournir aux clients des informations et des actions recommandées.
L'analyse et l'enquête sont en cours :
- Consultez régulièrement cet article pour des mises à jour supplémentaires afin de vous assurer de disposer des derniers détails.
- CVE-2021-44228
Score CVSS de base : 10,0 CVSS : 3,0/AV : N/AC : L/PR : N/UI : N/S : C/C : H/I : H/A : H. - La vulnérabilité suivante a également été signalée, liée à la vulnérabilité CVE mentionnée ci-dessus. Il est recommandé de la corriger en priorité.
CVE-2021-45046
Score CVSS de base : 9,0 CVSS : 3,1/AV : N/AC : H/PR : N/UI : N/S : C/C : H/I : H/A : H.
Versions Apache log4j vulnérables pour les CVE ci-dessus : toutes les versions de 2.0-beta9 à 2.15.0 - Le CVE suivant a été signalé par Apache contre les versions log4j 2.0-beta9 à 2.16 :
CVE-2021-45105
Score CVSS de base : 7,5 CVSS : 3,1/AV : N/AC : L/PR : N/UI : N/S : U/C : N/I : N/A : H
Versions vulnérables d'Apache Log4j pour le CVE : 2.0-beta7 à 2.16 - Le CVE suivant a été signalé par Apache contre Log4j 2.17 :
CVE-2021-44832
Score CVSS de base : 6,6 CVSS : 3,1/AV : N/AC : H/PR : H/UI : N/S : U/C : H/I : H/A : H.
Versions vulnérables d'Apache Log4j pour CVE : 2.0-beta7 à 2.17.0
- Consultez l'article Apache pour plus de détails :
https://logging.apache.org/log4j/2.x/security.html
NOTE IMPORTANTE :
- En raison de la criticité de cette vulnérabilité signalée, PTC RECOMMANDE FORTEMENT de prendre des mesures IMMÉDIATES pour garantir que toutes les instances Windchill impactées sont sécurisées.
- Aucun exploit connu n'a été signalé pour Windchill à l'heure actuelle.
Une enquête est en cours pour identifier toute surface d’attaque potentielle.
- Toutes les instances (développement, test et production) sont concernées et tout déploiement Windchill des versions concernées doit être mis à jour conformément aux recommandations ci-dessous. Cela inclut la mise à jour de tous les serveurs de fichiers Windchill .
IMPACT SUR LES REJETS DE REFROIDISSEMENT ÉOLIEN :
- Windchill inclut la bibliothèque log4j pour les fonctionnalités de journalisation natives. ( Voir ci-dessous pour les impacts liés aux composants groupés tiers pris en charge qui s'intègrent directement à Windchill .)
| Sortie de Windchill | Version d'Apache Log4j | Informations Complémentaires |
| 11.0 M030 | log4j 1.x | Non vulnérable. Consultez l'article CS359009 pour plus d'informations. * PTC surveille et analyse en permanence les versions Windchill prises en charge pour détecter tout CVE critique ou élevé signalé. |
11.1 M020 et versions antérieures 11.2.1 FlexPLM 11.1 M010 FlexPLM 11.1 M020 FlexPLM 11.2.1 FlexPLM 12.0.0 | log4j 1.x | Non vulnérable. Consultez l'article CS359009 pour plus d'informations. * PTC surveille et analyse en permanence les versions Windchill prises en charge pour détecter tout CVE critique ou élevé signalé. |
12.0.2.0 (CPS01 et CPS02) FlexPLM 12.0.2 | log4j 2.14.1 | Action immédiate fortement recommandée – Solution de contournement (voir la section Résolution pour les étapes spécifiques) |
| 12.0.2.3 (CPS03) 12.1.0.0 FlexPLM 12.0.2.2 | log4j 2.17.0 | Mise à jour de la version 2.17.0 de Log4j Version 12.0.2.3 publiée le 28 décembre 2021 Version 12.1.0.0 publiée le 30 décembre 2021 |
| 12.0.2.4 (CPS04) 12.1.0.1 (CPS01) FlexPLM 12.0.2.3 | log4j 2.17.1 | Mise à jour vers log4j 2.17.1 CPS04 publié le 16 février 2022 CPS01 publié le 23 février 2022 |
- Composants Windchill supplémentaires :
- Une analyse supplémentaire a été effectuée à partir des composants Windchill pour identifier tout impact ou risque.
- Veuillez consulter la résolution pour plus d'informations sur les composants Windchill supplémentaires.
- Impacts sur les composants groupés tiers :
- Bien que les versions antérieures de Windchill (antérieures à 12.0.2.0) puissent ne pas inclure la version vulnérable de log4j, les composants groupés tiers pris en charge peuvent toujours être vulnérables.
- L'analyse d'impact de Windchill comprend l'examen des composants groupés tiers suivants :
- Solr
- Cognos
- Tibco
- Reportez-vous au tableau ci-dessous (section Résolution) pour les dernières mises à jour de chaque composant tiers.
IMPACT SUR LES APPLICATIONS/SOLUTIONS PTC INTÉGRÉES :
- FlexPLM - Les recommandations doivent être suivies. Toute information complémentaire sera communiquée dès qu'elle sera disponible.
- Naviguer/ThingWorx - CS359107
- Ping Federate - CS358902
- Shibboleth SP - Non concerné. Consultez l' annonce Shibboleth pour plus de détails.
- Wincom - Non affecté
Emplacements supplémentaires dans Windchill Codebase où se trouve Log4j 2.x :
- Il existe des emplacements supplémentaires dans la base de code Windchill où log4j2.x est inclus.
- L'utilisation de log4j dans ces emplacements n'est pas exploitable.
- Cependant, pour les clients qui ont besoin que toutes les instances de log4j soient à jour pour répondre aux exigences de sécurité, des étapes supplémentaires peuvent être nécessaires pour supprimer log4j dans ces emplacements :
Reportez-vous au tableau à la fin de l'article pour une liste des emplacements connus et des actions recommandées
Cette version PDF de l'article 358789 peut être obsolète. Pour la dernière version CS358789