アーティクル - CS358789

Apache Log4j 2.xセキュリティの脆弱性(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832)-WindchillおよびFlexPLMへの影響

修正日: 06-Mar-2022   


注記:ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。
お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

適用対象

  • Windchill PDMLink 11.0 M030
  • FlexPLM 11.0 M030
  • FlexPLM 11.1 M010
  • FlexPLM 11.1 M020
  • Windchill PDMLink 11.1 M020
  • Windchill PDMLink 11.2.1.0
  • FlexPLM 11.2.1.0
  • FlexPLM 12.0.0.0
  • FlexPLM 12.0.2.0
  • Windchill PDMLink 12.1.0.0
  • Windchill PDMLink 12.0.2.0

説明

重大なゼロデイ脆弱性がサードパーティライブラリlog4jで報告されています。
この記事は、お客様に情報と推奨されるアクションを提供するために作成されました。
分析と調査が進行中です:
  • この記事を定期的にチェックして、最新の詳細を確認するための追加の更新を確認してください。
現在、次の脆弱性が知られています。
  • CVE-2021-44228
    基本CVSSスコア:10.0 CVSS:3.0 / AV:N / AC:L / PR:N / UI:N / S:C / C:H / I:H / A:H
  • 上記のCVEに関連する以下の脆弱性も報告されています。優先的に対処することもお勧めします。
    CVE-2021-45046

    基本CVSSスコア:9.0 CVSS:3.1 / AV:N / AC:H / PR:N / UI:N / S:C / C:H / I:H / A:H
    上記のCVEの脆弱なApachelog4jバージョン:2.0-beta9から2.15.0までのすべてのバージョン
  • 次のCVEは、log4jバージョン2.0-beta9から2.16に対してApacheによって報告されました。
    CVE-2021-45105
    基本CVSSスコア:7.5CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H
    CVEの脆弱なApacheLog4jバージョン:2.0-beta7から2.16
  • 次のCVEは、Log4j2.17に対してApacheによって報告されました。
    CVE-2021-44832
    基本CVSSスコア:6.6CVSS:3.1 / AV:N / AC:H / PR:H / UI:N / S:U / C:H / I:H / A:H
    CVE:2.0-beta7から2.17.0の脆弱なApacheLog4jバージョン

    重要な注意

    • この報告された脆弱性の重大性のため、PTCは、影響を受けるすべてのWindchillインスタンスが安全であることを確認するために、即時のアクションを実行することを強くお勧めします。
    • 現時点では、Windchillについて報告されている既知のエクスプロイトはありません。
      潜在的な攻撃対象領域を特定するための調査が進行中です。
    • すべてのインスタンス(dev、test、およびprod)が影響を受け、影響を受けるリリースのWindchillデプロイメントは、以下の推奨事項に従って更新する必要があります。これには、すべてのWindchillファイルサーバーの更新が含まれます。

      ウィンドチルリリースへの影響:

      • Windchillには、ネイティブロギング機能用のlog4jライブラリが含まれています。 ( Windchillと直接統合するサポートされているサードパーティのバンドルコンポーネントに関連する影響については、以下を参照してください
      WindchillリリースApacheLog4jバージョン追加情報
      11.0 M030 log4j 1.x
      脆弱ではありません。詳細については、記事CS359009を参照してください。

      * PTCは、報告されたクリティカルまたは高CVEについて、サポートされているWindchillリリースを継続的に監視および分析します。

      11.1M020以前
      11.2.1

      FlexPLM 11.1 M010
      FlexPLM 11.1 M020
      FlexPLM 11.2.1
      FlexPLM 12.0.0
      log4j 1.x脆弱ではありません。詳細については、記事CS359009を参照してください。

      * PTCは、報告されたクリティカルまたは高CVEについて、サポートされているWindchillリリースを継続的に監視および分析します。

      12.0.2.0
      (CPS01およびCPS02)

      FlexPLM 12.0.2
      log4j 2.14.1即時アクション強く推奨–回避策(特定の手順については、解決のセクションを参照してください)
      12.0.2.3(CPS03)
      12.1.0.0
      FlexPLM 12.0.2.2
      log4j 2.17.0
      Log4jバージョン2.17.0を更新しました
      12.0.2.3 2021年12月28日にリリース
      12.1.0.0 2021年12月30日にリリース
      12.0.2.4(CPS04)
      12.1.0.1(CPS01)
      FlexPLM 12.0.2.3
      log4j 2.17.1
      log4j2.17.1に更新

      CPS04は2022年2月16日にリリースされました

      CPS01は2022年2月23日にリリースされました
        • 追加のWindchillコンポーネント:
        • Windchillコンポーネントから追加の分析が行われ、影響やリスクが特定されています。
        • 追加のWindchillコンポーネントについては、解決策を参照してください。
        • サードパーティのバンドルコンポーネントへの影響:
        • 以前のWindchillリリース(12.0.2.0より前)には脆弱なlog4jバージョンが含まれていない可能性がありますが、サポートされているサードパーティのバンドルコンポーネントは依然として脆弱である可能性があります。
        • Windchillの影響分析には、次のサードパーティのバンドルコンポーネントのレビューが含まれます。
          • Solr
          • Cognos
          • Tibco
        • 各サードパーティコンポーネントの最新の更新については、以下の表(解決セクション)を参照してください。

        統合されたPTCアプリケーション/ソリューションへの影響:

        • FlexPLM-推奨されるアクションに従う必要があります。追加の考慮事項は、利用可能になったとき/利用可能になった場合に提供されます。
        • ナビゲート/ ThingWorx - CS359107
        • Ping Federate - CS358902
        • ShibbolethSP-影響を受けません。詳細については、 Shibbolethの発表を参照してください。
        • Wincom-影響を受けません

        Log4j2.xが見つかったWindchillコードベースの追加の場所:

        • Windchillコードベースには、log4j2.xが含まれている追加の場所があります。
        • これらの場所でlog4jを使用することはできません。
        • ただし、セキュリティ要件を満たすためにすべてのlog4jインスタンスを最新の状態にする必要があるお客様の場合、次の場所でlog4jを削除するために追加の手順が必要になる場合があります。
        既知の場所と推奨されるアクションのリストについては、記事の最後にある表を参照してください
        最新バージョンはこちらを参照ください CS358789