Apache Log4j 2CVE-2021-44228およびCVE2021-45046の修復については、PTCは、Apacheからの修復で説明されているように、JNDILookup.classを削除することをお勧めします。 これまでのPTCのテスト(2021年12月10日から12月15日)を通じて、この方法による悪影響は確認しておりません。 また当社の製品において動的にロードする機能も使用しておりませんので、修復アクションは、脆弱性の低減への貢献および製品における影響リスクを下げ、両方に対して効果的であると言えます。 この変更によるリスクは、アプリケーションのロギングサブシステムに限定されており、万が一問題が起きた場合でも、この脆弱性の露出よりもはるかに影響は少ないと言えます。 お客様は、公式の認定を待っている間においても、脆弱性を先制的に修正することで、この重大な問題への即時の露出を減らすことができます。
以下に示すPTCの修復ドキュメントでは、Log4j 2がサードパーティアプリケーションに組み込まれている場所とそれらを修復方法についても説明しております。 PTCのソフトウェアはLog4j 2を使用していない可能性もありますが、これらのサードパーティコンポーネントがそれらを組み込んでいる可能性がありますので、同様に修正する必要があります。 PTCがLog4j 2を利用している場合は、Log4j 2の更新版を含んだパッチを作成いたします。 ただしお客様はこれらを待つのではなく、システムを安全に保護するために、早急に介入手順を実行するようお願いいたします。 この推奨事項は、以下に示すように、開発およびテストシステム、本番および一部のデスクトップアプリケーションを含む、お客様が使用する可能性のあるすべてのインストールに適用されます。
"PTCは、システムプロパティを使用して機能を無効にする代替修復オプションを推奨しないことと決定しました。 私たちとしては、これらはアプリケーションを介してプロパティを適切に渡す際に障害シナリオになりがちであり、さらに悪いことに、将来的にもシステムを適切に保護できない可能性があるためです。 2021年12月15日の時点でも、このメソッドについては、以下のサイトでも無効であると宣言されています: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups
2021年12月14日に公開された Apache Log4j 1.x のCVE-2021-4041について (https://bugzilla.redhat.com/show_bug.cgi?id=2031667)PTCは各製品における必要な修復手順を積極的に調査しています。 説明にあるJMSAppenderメソッドは、攻撃者がJMSブローカーとJNDI/ LDAP攻撃ベクトルに対して利用できるLog4j2の脆弱性のようなシナリオです。 この脆弱性を有効にするには、システムへの管理アクセスが必要です。この機能はデフォルトで無効になっています。 このCVEの結果として生じる重大度は、それを有効にするために必要な手間を考えると中程度のリスクですが、もしお客様がこの機能を独自に使用を有効化にしている場合は、このCVEにある修復手順適用を検討する必要があります。PTCは、今後も更なる情報がありましたら、この脆弱性パスについて引き続き多くの情報を開示していきます。
以下にリストされていない製品については、情報がわかり次第、推奨されるアクションについて公開します。 今後の更新については、このアラートを参照してください。
不明な点がありましたら、www.ptc.com/supportよりお問い合わせください。
Log4jCVE2021-44228の脆弱性に対して脆弱ではありません。
Updated December 15, 2021 at 8:08 p.m.
Log4jCVE2021-44228の脆弱性に対して脆弱ではありません。
Updated December 15, 2021 at 8:08 p.m.
Log4jCVE2021-44228の脆弱性に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
https://www.ptc.com/ja/support/article/CS358998
Updated December 15, 2021 at 9:45 a.m.
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 15, 2021 at 11:25 a.m.
https://www.ptc.com/ja/support/article/CS358990
Updated December 14, 2021 at 11:45 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 14, 2021 at 11:45 p.m.
https://www.ptc.com/ja/support/article/CS358831
Updated December 15, 2021 at 4:49 p.m.
https://www.ptc.com/ja/support/article/CS358965
Updated December 15, 2021 at 8:08 a.m.
Log4j CVE2021-44228に対して脆弱ではありません。 アクション不要。
Updated December 15, 2021 at 8:08 a.m.
https://www.ptc.com/ja/support/article/CS358831
Updated December 15, 2021 at 4:49 p.m.
https://www.ptc.com/ja/support/article/CS358831
Updated December 15, 2021 at 8:08 a.m.
https://www.ptc.com/ja/support/article/CS358831
Updated December 15, 2021 at 8:08 a.m.
https://www.ptc.com/ja/support/article/CS358831
Updated December 15, 2021 at 4:49 p.m.
https://www.ptc.com/ja/support/article/CS359116
Updated December 15, 2021 at 8:08 p.m.
https://www.ptc.com/ja/support/article/CS358996
Updated December 15, 2021 at 8:45 a.m.
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 14, 2021 at 11:45 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 14, 2021 at 11:45 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 14, 2021 at 11:45 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 15, 2021 at 8:08 p.m.
解決済み。 12月10日(金) 9:30AM(EST)
Updated December 14, 2021 at 11:45 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 14, 2021 at 11:45 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 14, 2021 at 11:45 p.m.
https://www.ptc.com/ja/support/article/CS358886
Updated December 14, 2021 at 11:45 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 15, 2021 at 8:08 p.m.
https://www.ptc.com/ja/support/article/CS358901
Updated December 15, 2021 at 9:45 a.m.
https://www.ptc.com/ja/support/article/CS358901
Updated December 14, 2021 at 11:58 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 16, 2021 at 12:56 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。 This update Includes Vuforia Experience Service and Vuforia View.
Updated December 17, 2021 at 12:08 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 14, 2021 at 11:58 p.m.
https://www.ptc.com/ja/support/article/CS359107
Updated December 14, 2021 at 5 p.m.
https://www.ptc.com/ja/support/article/CS358789
Updated December 14, 2021 at 11:58 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
https://www.ptc.com/ja/support/article/CS358804
Updated December 14, 2021 at 11:58 p.m.
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 15, 2021 at 8:08 p.m.
以下にリストされていない製品については、情報がわかり次第、推奨されるアクションについて公開します。今後の更新については、このアラートを参照してください。
もしPTCへお問い合わせを希望する場合には、こちらのサイトよりお願いします: www.ptc.com/support.
https://www.ptc.com/ja/support/article/CS359116
Updated December 15, 2021 at 8:08 p.m.
報告された影響と推奨される修復手順については、IBMが公開した更新ページを参照してください。 ApacheLog4jCVE-2021-44228の脆弱性に関する更新:
差し迫った懸念に対処するために、詳細が確認されるまでCognosをオフにする場合があります。 レポートの生成は、解決されるまで無効になります。 他のすべての製品機能は通常のままです。
Updated December 15, 2021 at 8:08 p.m.
https://www.ptc.com/ja/support/article/CS358902
Updated December 14, 2021 at 11:58 p.m.
Solr関連の影響および推奨される修復手順については、ApacheSolrが公開しているアドバイザリを参照してください。ApacheLog4Jの影響を受けるApacheSolr CVE-202144228
差し迫った懸念に対処するために、詳細が確認されるまでSolrをオフにすることができます。 レポートの生成は、解決されるまで無効になります。他のすべての製品機能は通常のままです。
Updated December 15, 2021 at 8:08 p.m.
Tibcoが報告した影響と推奨される修復手順については、TIBCOが公開した記事を参照してください: TIBCO Log4j Vulnerability Daily Update
Updated December 15, 2021 at 8:08 p.m.
選択した言語はご利用いただけません
このアイテムは英語では提供されていません。