アーティクル - CS358789
Apache Log4j 2.xセキュリティの脆弱性(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832)-WindchillおよびFlexPLMへの影響
修正日: 06-Mar-2022
適用対象
- Windchill PDMLink 11.0 M030
- FlexPLM 11.0 M030
- FlexPLM 11.1 M010
- FlexPLM 11.1 M020
- Windchill PDMLink 11.1 M020
- Windchill PDMLink 11.2.1.0
- FlexPLM 11.2.1.0
- FlexPLM 12.0.0.0
- FlexPLM 12.0.2.0
- Windchill PDMLink 12.1.0.0
- Windchill PDMLink 12.0.2.0
説明
重大なゼロデイ脆弱性がサードパーティライブラリlog4jで報告されています。
この記事は、お客様に情報と推奨されるアクションを提供するために作成されました。
分析と調査が進行中です:
この記事は、お客様に情報と推奨されるアクションを提供するために作成されました。
分析と調査が進行中です:
- この記事を定期的にチェックして、最新の詳細を確認するための追加の更新を確認してください。
- CVE-2021-44228
基本CVSSスコア:10.0 CVSS:3.0 / AV:N / AC:L / PR:N / UI:N / S:C / C:H / I:H / A:H - 上記のCVEに関連する以下の脆弱性も報告されています。優先的に対処することもお勧めします。
CVE-2021-45046
基本CVSSスコア:9.0 CVSS:3.1 / AV:N / AC:H / PR:N / UI:N / S:C / C:H / I:H / A:H
上記のCVEの脆弱なApachelog4jバージョン:2.0-beta9から2.15.0までのすべてのバージョン - 次のCVEは、log4jバージョン2.0-beta9から2.16に対してApacheによって報告されました。
CVE-2021-45105
基本CVSSスコア:7.5CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H
CVEの脆弱なApacheLog4jバージョン:2.0-beta7から2.16 - 次のCVEは、Log4j2.17に対してApacheによって報告されました。
CVE-2021-44832
基本CVSSスコア:6.6CVSS:3.1 / AV:N / AC:H / PR:H / UI:N / S:U / C:H / I:H / A:H
CVE:2.0-beta7から2.17.0の脆弱なApacheLog4jバージョン
- 詳細については、Apacheの記事を参照してください。
https://logging.apache.org/log4j/2.x/security.html
重要な注意:
- この報告された脆弱性の重大性のため、PTCは、影響を受けるすべてのWindchillインスタンスが安全であることを確認するために、即時のアクションを実行することを強くお勧めします。
- 現時点では、Windchillについて報告されている既知のエクスプロイトはありません。
潜在的な攻撃対象領域を特定するための調査が進行中です。
- すべてのインスタンス(dev、test、およびprod)が影響を受け、影響を受けるリリースのWindchillデプロイメントは、以下の推奨事項に従って更新する必要があります。これには、すべてのWindchillファイルサーバーの更新が含まれます。
ウィンドチルリリースへの影響:
- Windchillには、ネイティブロギング機能用のlog4jライブラリが含まれています。 ( Windchillと直接統合するサポートされているサードパーティのバンドルコンポーネントに関連する影響については、以下を参照してください)
Windchillリリース | ApacheLog4jバージョン | 追加情報 |
11.0 M030 | log4j 1.x | 脆弱ではありません。詳細については、記事CS359009を参照してください。 * PTCは、報告されたクリティカルまたは高CVEについて、サポートされているWindchillリリースを継続的に監視および分析します。 |
11.1M020以前 11.2.1 FlexPLM 11.1 M010 FlexPLM 11.1 M020 FlexPLM 11.2.1 FlexPLM 12.0.0 | log4j 1.x | 脆弱ではありません。詳細については、記事CS359009を参照してください。 * PTCは、報告されたクリティカルまたは高CVEについて、サポートされているWindchillリリースを継続的に監視および分析します。 |
12.0.2.0 (CPS01およびCPS02) FlexPLM 12.0.2 | log4j 2.14.1 | 即時アクション強く推奨–回避策(特定の手順については、解決のセクションを参照してください) |
12.0.2.3(CPS03) 12.1.0.0 FlexPLM 12.0.2.2 | log4j 2.17.0 | Log4jバージョン2.17.0を更新しました 12.0.2.3 2021年12月28日にリリース 12.1.0.0 2021年12月30日にリリース |
12.0.2.4(CPS04) 12.1.0.1(CPS01) FlexPLM 12.0.2.3 | log4j 2.17.1 | log4j2.17.1に更新 CPS04は2022年2月16日にリリースされました CPS01は2022年2月23日にリリースされました |
- 追加のWindchillコンポーネント:
- Windchillコンポーネントから追加の分析が行われ、影響やリスクが特定されています。
- 追加のWindchillコンポーネントについては、解決策を参照してください。
- サードパーティのバンドルコンポーネントへの影響:
- 以前のWindchillリリース(12.0.2.0より前)には脆弱なlog4jバージョンが含まれていない可能性がありますが、サポートされているサードパーティのバンドルコンポーネントは依然として脆弱である可能性があります。
- Windchillの影響分析には、次のサードパーティのバンドルコンポーネントのレビューが含まれます。
- Solr
- Cognos
- Tibco
- 各サードパーティコンポーネントの最新の更新については、以下の表(解決セクション)を参照してください。
統合されたPTCアプリケーション/ソリューションへの影響:
- FlexPLM-推奨されるアクションに従う必要があります。追加の考慮事項は、利用可能になったとき/利用可能になった場合に提供されます。
- ナビゲート/ ThingWorx - CS359107
- Ping Federate - CS358902
- ShibbolethSP-影響を受けません。詳細については、 Shibbolethの発表を参照してください。
- Wincom-影響を受けません
Log4j2.xが見つかったWindchillコードベースの追加の場所:
- Windchillコードベースには、log4j2.xが含まれている追加の場所があります。
- これらの場所でlog4jを使用することはできません。
- ただし、セキュリティ要件を満たすためにすべてのlog4jインスタンスを最新の状態にする必要があるお客様の場合、次の場所でlog4jを削除するために追加の手順が必要になる場合があります。
既知の場所と推奨されるアクションのリストについては、記事の最後にある表を参照してください
最新バージョンはこちらを参照ください CS358789