Critical Windchill and FlexPLM Security Notice

Critical new security patches are now available. Customers are urged to apply the patches immediately.

Learn More

Log4j セキュリティ脆弱性 レスポンスセンター

PTC製品における Log4j セキュリティ脆弱性の最新情報はこちらから (Apache Log4j CVE-2021-44228)

PTCの対策方針について

Apache Log4j 2CVE-2021-44228およびCVE2021-45046の修復については、PTCは、Apacheからの修復で説明されているように、JNDILookup.classを削除することをお勧めします。 これまでのPTCのテスト(2021年12月10日から12月15日)を通じて、この方法による悪影響は確認しておりません。 また当社の製品において動的にロードする機能も使用しておりませんので、修復アクションは、脆弱性の低減への貢献および製品における影響リスクを下げ、両方に対して効果的であると言えます。 この変更によるリスクは、アプリケーションのロギングサブシステムに限定されており、万が一問題が起きた場合でも、この脆弱性の露出よりもはるかに影響は少ないと言えます。 お客様は、公式の認定を待っている間においても、脆弱性を先制的に修正することで、この重大な問題への即時の露出を減らすことができます。

以下に示すPTCの修復ドキュメントでは、Log4j 2がサードパーティアプリケーションに組み込まれている場所とそれらを修復方法についても説明しております。 PTCのソフトウェアはLog4j 2を使用していない可能性もありますが、これらのサードパーティコンポーネントがそれらを組み込んでいる可能性がありますので、同様に修正する必要があります。 PTCがLog4j 2を利用している場合は、Log4j 2の更新版を含んだパッチを作成いたします。 ただしお客様はこれらを待つのではなく、システムを安全に保護するために、早急に介入手順を実行するようお願いいたします。 この推奨事項は、以下に示すように、開発およびテストシステム、本番および一部のデスクトップアプリケーションを含む、お客様が使用する可能性のあるすべてのインストールに適用されます。

"PTCは、システムプロパティを使用して機能を無効にする代替修復オプションを推奨しないことと決定しました。 私たちとしては、これらはアプリケーションを介してプロパティを適切に渡す際に障害シナリオになりがちであり、さらに悪いことに、将来的にもシステムを適切に保護できない可能性があるためです。 2021年12月15日の時点でも、このメソッドについては、以下のサイトでも無効であると宣言されています: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups

2021年12月14日に公開された Apache Log4j 1.x のCVE-2021-4041について (https://bugzilla.redhat.com/show_bug.cgi?id=2031667)PTCは各製品における必要な修復手順を積極的に調査しています。 説明にあるJMSAppenderメソッドは、攻撃者がJMSブローカーとJNDI/ LDAP攻撃ベクトルに対して利用できるLog4j2の脆弱性のようなシナリオです。 この脆弱性を有効にするには、システムへの管理アクセスが必要です。この機能はデフォルトで無効になっています。 このCVEの結果として生じる重大度は、それを有効にするために必要な手間を考えると中程度のリスクですが、もしお客様がこの機能を独自に使用を有効化にしている場合は、このCVEにある修復手順適用を検討する必要があります。PTCは、今後も更なる情報がありましたら、この脆弱性パスについて引き続き多くの情報を開示していきます。

 

主要製品による推奨される調停

以下にリストされていない製品については、情報がわかり次第、推奨されるアクションについて公開します。 今後の更新については、このアラートを参照してください。

不明な点がありましたら、www.ptc.com/supportよりお問い合わせください。

AdaWorld

Log4jCVE2021-44228の脆弱性に対して脆弱ではありません。

Updated December 15, 2021 at 8:08 p.m.

ApexAda

Log4jCVE2021-44228の脆弱性に対して脆弱ではありません。

Updated December 15, 2021 at 8:08 p.m.

Arena

Log4jCVE2021-44228の脆弱性に対して脆弱ではありません。

Updated December 14, 2021 at 11:45 p.m.

Atlas

解決済み。 12月10日(金) 5:30AM(EST)

Arbortext

https://www.ptc.com/ja/support/article/CS358998

Updated December 15, 2021 at 9:45 a.m.

Arbortext Content Dilivery

Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

Updated December 15, 2021 at 11:25 a.m.

Arbortext IsoDraw

Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

Axeda

https://www.ptc.com/ja/support/article/CS358990

Updated December 14, 2021 at 11:45 p.m.

CADDS5

Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

Updated December 14, 2021 at 11:45 p.m.

Creo Direct

https://www.ptc.com/ja/support/article/CS358831

Updated December 15, 2021 at 4:49 p.m.

Creo Elements Direct

https://www.ptc.com/ja/support/article/CS358965

Updated December 15, 2021 at 8:08 a.m.

Creo Generative Design

Log4j CVE2021-44228に対して脆弱ではありません。 アクション不要。

Updated December 15, 2021 at 8:08 a.m.

Creo Illustrate

Log4j CVE2021-44228に対して脆弱ではありません。 アクション不要。

Creo Layout

https://www.ptc.com/ja/support/article/CS358831

Updated December 15, 2021 at 4:49 p.m.

Creo Parametric

https://www.ptc.com/ja/support/article/CS358831

Updated December 15, 2021 at 8:08 a.m.

Creo Schematics

https://www.ptc.com/ja/support/article/CS358831

Updated December 15, 2021 at 8:08 a.m.

Creo Simulate

https://www.ptc.com/ja/support/article/CS358831

Updated December 15, 2021 at 4:49 p.m.

Creo View

Log4j CVE2021-44228に対して脆弱ではありません。 アクション不要。

Creo View Adapters

https://www.ptc.com/ja/support/article/CS359116

Updated December 15, 2021 at 8:08 p.m.

Kepware

https://www.ptc.com/ja/support/article/CS358996

Updated December 15, 2021 at 8:45 a.m.

MKS Implementer

Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

Updated December 14, 2021 at 11:45 p.m.

MKS Toolkit

Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

Updated December 14, 2021 at 11:45 p.m.

MKS Toolkit

Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

Updated December 14, 2021 at 11:45 p.m.

ObjectAda

Log4j CVE2021-44228に対して脆弱ではありません。

Updated December 15, 2021 at 8:08 p.m.

Onshape

解決済み。 12月10日(金) 9:30AM(EST)

Updated December 14, 2021 at 11:45 p.m.

Optegra

Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

Updated December 14, 2021 at 11:45 p.m.

Perc

Log4j CVE2021-44228に対して脆弱ではありません。

Updated December 14, 2021 at 11:45 p.m.

PTC Modeler

Log4j CVE2021-44228に対して脆弱ではありません。

Updated December 14, 2021 at 11:45 p.m.

Service Knowlegde Diagnostics (SKD)

Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

Updated December 14, 2021 at 11:45 p.m.

Servigistics

https://www.ptc.com/ja/support/article/CS358886

Updated December 14, 2021 at 11:45 p.m.

TeleUSE

Log4j CVE2021-44228に対して脆弱ではありません。

Updated December 15, 2021 at 8:08 p.m.

ThingWorx Analytics

https://www.ptc.com/ja/support/article/CS358901

Updated December 15, 2021 at 9:45 a.m.

ThingWorx Platform

https://www.ptc.com/ja/support/article/CS358901

Updated December 14, 2021 at 11:58 p.m.

Vuforia Chalk

Log4j CVE2021-44228に対して脆弱ではありません。

Updated December 14, 2021 at 11:45 p.m.

Vuforia Engine SDK

Log4j CVE2021-44228に対して脆弱ではありません。

Updated December 14, 2021 at 11:45 p.m.

Vuforia Engine Server

Log4j CVE2021-44228に対して脆弱ではありません。

Updated December 16, 2021 at 12:56 p.m.

Vuforia Expert Capture

Log4j CVE2021-44228に対して脆弱ではありません。

Updated December 14, 2021 at 11:45 p.m.

Vuforia Instruct

Log4j CVE2021-44228に対して脆弱ではありません。

Updated December 14, 2021 at 11:45 p.m.

Vuforia Studio

Log4j CVE2021-44228に対して脆弱ではありません。 This update Includes Vuforia Experience Service and Vuforia View.

Updated December 17, 2021 at 12:08 p.m.

Webship and MOVE

Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。

Updated December 14, 2021 at 11:58 p.m.

Windchill Navigate

https://www.ptc.com/ja/support/article/CS359107

Updated December 14, 2021 at 5 p.m.

Windchill PLM and FlexPLM

https://www.ptc.com/ja/support/article/CS358789

Updated December 14, 2021 at 11:58 p.m.

Windchill Risk and Reliability

Log4j CVE2021-44228に対して脆弱ではありません。

Updated December 14, 2021 at 11:45 p.m.

Windchill RV&S

https://www.ptc.com/ja/support/article/CS358804

Updated December 14, 2021 at 11:58 p.m.

X32Plus

Log4j CVE2021-44228に対して脆弱ではありません。

Updated December 15, 2021 at 8:08 p.m.

サードパーティ製品/ツールにおける推奨対策

以下にリストされていない製品については、情報がわかり次第、推奨されるアクションについて公開します。今後の更新については、このアラートを参照してください。

もしPTCへお問い合わせを希望する場合には、こちらのサイトよりお願いします: www.ptc.com/support.

Adobe Experience Manager (AEM)

https://www.ptc.com/ja/support/article/CS359116

Updated December 15, 2021 at 8:08 p.m.

Cognos

報告された影響と推奨される修復手順については、IBMが公開した更新ページを参照してください。 ApacheLog4jCVE-2021-44228の脆弱性に関する更新:

差し迫った懸念に対処するために、詳細が確認されるまでCognosをオフにする場合があります。 レポートの生成は、解決されるまで無効になります。 他のすべての製品機能は通常のままです。


Updated December 15, 2021 at 8:08 p.m.

Ping Federate

https://www.ptc.com/ja/support/article/CS358902

Updated December 14, 2021 at 11:58 p.m.

Solr

Solr関連の影響および推奨される修復手順については、ApacheSolrが公開しているアドバイザリを参照してください。ApacheLog4Jの影響を受けるApacheSolr CVE-202144228

差し迫った懸念に対処するために、詳細が確認されるまでSolrをオフにすることができます。 レポートの生成は、解決されるまで無効になります。他のすべての製品機能は通常のままです。


Updated December 15, 2021 at 8:08 p.m.

TIBCO

Tibcoが報告した影響と推奨される修復手順については、TIBCOが公開した記事を参照してください: TIBCO Log4j Vulnerability Daily Update


Updated December 15, 2021 at 8:08 p.m.