• log4j

Log4j セキュリティ脆弱性 レスポンスセンター

PTC製品における Log4j セキュリティ脆弱性の最新情報はこちらから (Apache Log4j CVE-2021-44228)

PTCの対策方針について

Apache Log4j 2CVE-2021-44228およびCVE2021-45046の修復については、PTCは、Apacheからの修復で説明されているように、JNDILookup.classを削除することをお勧めします。 これまでのPTCのテスト(2021年12月10日から12月15日)を通じて、この方法による悪影響は確認しておりません。 また当社の製品において動的にロードする機能も使用しておりませんので、修復アクションは、脆弱性の低減への貢献および製品における影響リスクを下げ、両方に対して効果的であると言えます。 この変更によるリスクは、アプリケーションのロギングサブシステムに限定されており、万が一問題が起きた場合でも、この脆弱性の露出よりもはるかに影響は少ないと言えます。 お客様は、公式の認定を待っている間においても、脆弱性を先制的に修正することで、この重大な問題への即時の露出を減らすことができます。

以下に示すPTCの修復ドキュメントでは、Log4j 2がサードパーティアプリケーションに組み込まれている場所とそれらを修復方法についても説明しております。 PTCのソフトウェアはLog4j 2を使用していない可能性もありますが、これらのサードパーティコンポーネントがそれらを組み込んでいる可能性がありますので、同様に修正する必要があります。 PTCがLog4j 2を利用している場合は、Log4j 2の更新版を含んだパッチを作成いたします。 ただしお客様はこれらを待つのではなく、システムを安全に保護するために、早急に介入手順を実行するようお願いいたします。 この推奨事項は、以下に示すように、開発およびテストシステム、本番および一部のデスクトップアプリケーションを含む、お客様が使用する可能性のあるすべてのインストールに適用されます。

"PTCは、システムプロパティを使用して機能を無効にする代替修復オプションを推奨しないことと決定しました。 私たちとしては、これらはアプリケーションを介してプロパティを適切に渡す際に障害シナリオになりがちであり、さらに悪いことに、将来的にもシステムを適切に保護できない可能性があるためです。 2021年12月15日の時点でも、このメソッドについては、以下のサイトでも無効であると宣言されています: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups

2021年12月14日に公開された Apache Log4j 1.x のCVE-2021-4041について (https://bugzilla.redhat.com/show_bug.cgi?id=2031667)PTCは各製品における必要な修復手順を積極的に調査しています。 説明にあるJMSAppenderメソッドは、攻撃者がJMSブローカーとJNDI/ LDAP攻撃ベクトルに対して利用できるLog4j2の脆弱性のようなシナリオです。 この脆弱性を有効にするには、システムへの管理アクセスが必要です。この機能はデフォルトで無効になっています。 このCVEの結果として生じる重大度は、それを有効にするために必要な手間を考えると中程度のリスクですが、もしお客様がこの機能を独自に使用を有効化にしている場合は、このCVEにある修復手順適用を検討する必要があります。PTCは、今後も更なる情報がありましたら、この脆弱性パスについて引き続き多くの情報を開示していきます。

 

主要製品による推奨される調停

以下にリストされていない製品については、情報がわかり次第、推奨されるアクションについて公開します。 今後の更新については、このアラートを参照してください。

不明な点がありましたら、www.ptc.com/supportよりお問い合わせください。

  • AdaWorld

    Log4jCVE2021-44228の脆弱性に対して脆弱ではありません。

    Updated December 15, 2021 at 8:08 p.m.

  • ApexAda

    Log4jCVE2021-44228の脆弱性に対して脆弱ではありません。

    Updated December 15, 2021 at 8:08 p.m.

  • Arena

    Log4jCVE2021-44228の脆弱性に対して脆弱ではありません。

    Updated December 14, 2021 at 11:45 p.m.

  • Atlas

    解決済み。 12月10日(金) 5:30AM(EST)
  • Arbortext

    https://www.ptc.com/ja/support/article/CS358998

    Updated December 15, 2021 at 9:45 a.m.

  • Arbortext Content Dilivery

    Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

    Updated December 15, 2021 at 11:25 a.m.

  • Arbortext IsoDraw

    Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
  • Axeda

    https://www.ptc.com/ja/support/article/CS358990

    Updated December 14, 2021 at 11:45 p.m.

  • CADDS5

    Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

    Updated December 14, 2021 at 11:45 p.m.

  • Creo Direct

    https://www.ptc.com/ja/support/article/CS358831

    Updated December 15, 2021 at 4:49 p.m.

  • Creo Elements Direct

    https://www.ptc.com/ja/support/article/CS358965

    Updated December 15, 2021 at 8:08 a.m.

  • Creo Generative Design

    Log4j CVE2021-44228に対して脆弱ではありません。 アクション不要。

    Updated December 15, 2021 at 8:08 a.m.

  • Creo Illustrate

    Log4j CVE2021-44228に対して脆弱ではありません。 アクション不要。
  • Creo Layout

    https://www.ptc.com/ja/support/article/CS358831

    Updated December 15, 2021 at 4:49 p.m.

  • Creo Parametric

    https://www.ptc.com/ja/support/article/CS358831

    Updated December 15, 2021 at 8:08 a.m.

  • Creo Schematics

    https://www.ptc.com/ja/support/article/CS358831

    Updated December 15, 2021 at 8:08 a.m.

  • Creo Simulate

    https://www.ptc.com/ja/support/article/CS358831

    Updated December 15, 2021 at 4:49 p.m.

  • Creo View

    Log4j CVE2021-44228に対して脆弱ではありません。 アクション不要。
  • Creo View Adapters

    https://www.ptc.com/ja/support/article/CS359116

    Updated December 15, 2021 at 8:08 p.m.

  • Kepware

    https://www.ptc.com/ja/support/article/CS358996

    Updated December 15, 2021 at 8:45 a.m.

  • MKS Implementer

    Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

    Updated December 14, 2021 at 11:45 p.m.

  • MKS Toolkit

    Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

    Updated December 14, 2021 at 11:45 p.m.

  • MKS Toolkit

    Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

    Updated December 14, 2021 at 11:45 p.m.

  • ObjectAda

    Log4j CVE2021-44228に対して脆弱ではありません。

    Updated December 15, 2021 at 8:08 p.m.

  • Onshape

    解決済み。 12月10日(金) 9:30AM(EST)

    Updated December 14, 2021 at 11:45 p.m.

  • Optegra

    Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

    Updated December 14, 2021 at 11:45 p.m.

  • Perc

    Log4j CVE2021-44228に対して脆弱ではありません。

    Updated December 14, 2021 at 11:45 p.m.

  • Service Knowlegde Diagnostics (SKD)

    Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

    Updated December 14, 2021 at 11:45 p.m.

  • Servigistics

    https://www.ptc.com/ja/support/article/CS358886

    Updated December 14, 2021 at 11:45 p.m.

  • TeleUSE

    Log4j CVE2021-44228に対して脆弱ではありません。

    Updated December 15, 2021 at 8:08 p.m.

  • ThingWorx Analytics

    https://www.ptc.com/ja/support/article/CS358901

    Updated December 15, 2021 at 9:45 a.m.

  • ThingWorx Navigate

    https://www.ptc.com/ja/support/article/CS359107

    Updated December 14, 2021 at 5 p.m.

  • ThingWorx Platform

    https://www.ptc.com/ja/support/article/CS358901

    Updated December 14, 2021 at 11:58 p.m.

  • Vuforia Chalk

    Log4j CVE2021-44228に対して脆弱ではありません。

    Updated December 14, 2021 at 11:45 p.m.

  • Vuforia Engine SDK

    Log4j CVE2021-44228に対して脆弱ではありません。

    Updated December 14, 2021 at 11:45 p.m.

  • Vuforia Engine Server

    Log4j CVE2021-44228に対して脆弱ではありません。

    Updated December 16, 2021 at 12:56 p.m.

  • Vuforia Expert Capture

    Log4j CVE2021-44228に対して脆弱ではありません。

    Updated December 14, 2021 at 11:45 p.m.

  • Vuforia Instruct

    Log4j CVE2021-44228に対して脆弱ではありません。

    Updated December 14, 2021 at 11:45 p.m.

  • Vuforia Studio

    Log4j CVE2021-44228に対して脆弱ではありません。 This update Includes Vuforia Experience Service and Vuforia View.

    Updated December 17, 2021 at 12:08 p.m.

  • Webship and MOVE

    Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

    Updated December 14, 2021 at 11:58 p.m.

  • Windchill Modeler

    Log4j CVE2021-44228に対して脆弱ではありません。

    Updated December 14, 2021 at 11:45 p.m.

  • Windchill PLM and FlexPLM

    https://www.ptc.com/ja/support/article/CS358789

    Updated December 14, 2021 at 11:58 p.m.

  • Windchill Risk and Reliability

    Log4j CVE2021-44228に対して脆弱ではありません。

    Updated December 14, 2021 at 11:45 p.m.

  • Windchill RV&S

    https://www.ptc.com/ja/support/article/CS358804

    Updated December 14, 2021 at 11:58 p.m.

  • X32Plus

    Log4j CVE2021-44228に対して脆弱ではありません。

    Updated December 15, 2021 at 8:08 p.m.

サードパーティ製品/ツールにおける推奨対策

以下にリストされていない製品については、情報がわかり次第、推奨されるアクションについて公開します。今後の更新については、このアラートを参照してください。

もしPTCへお問い合わせを希望する場合には、こちらのサイトよりお願いします: www.ptc.com/support.