アーティクル - CS359009
Apache Log4J 1.x のセキュリティ脆弱性 (CVE-2021-4104、CVE-2019-17571、CVE-2022-23302、CVE-2022-23305、および CVE-2022-23307) – Windchill PLM および FLexPLM への影響
修正日: 08-Jun-2026
適用対象
- FlexPLM 11.1 M010 to M020
- Windchill PDMLink 11.0 M030
- FlexPLM 11.0 M030
- Windchill PDMLink 11.1 M020
- Windchill PDMLink 11.2.1.0
- FlexPLM 11.2.1.0
- FlexPLM 12.0.0.0
- Windchill PDMLink 12.0
説明
Apache Log4j 1.x に対して複数の CVE が報告されています。サポートが終了していることが知られているため、Windchill PLM への既知の影響を確認するための分析と根拠が提供されます。
上記の「適用対象」欄に記載されている製品リリースにはすべて、log4j1.2.17バージョンが含まれています。
特定されたCVEに関連する脆弱性のあるApache Log4jのバージョン:1.2.Xのすべてのバージョン(1.2.17まで)
CVE-2021-4104
Log4j 1.x では、log4j の設定ファイルで有効になっている場合、JMSAppender は JNDI ルックアップを実行します。Log4j 1.x を使用するアプリケーションで、設定に JNDI (JMSAppender) が使用されている場合、影響を受ける可能性があります。
基本 CVSS スコア: 7.5 CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Red HatはRHSB-2021-009( CVE-2021-4104 )を特定しました。
https://access.redhat.com/security/cve/CVE-2021-4104
Red Hat Bugzillaの記事には、さらに詳しい情報が記載されています。
JavaログライブラリであるApache Log4jのバージョン1.xに脆弱性が発見されました。デプロイされたアプリケーションがJMSAppenderを使用するように構成されている場合、リモートの攻撃者がサーバー上でコードを実行できる可能性があります。
CVE-2021-4104は、製品がJMSAppenderを使用するように特別に構成されている場合にのみLog4j 1.2に影響します。これはWindchillの標準構成ではありません。
CVE-2019-17571
Log4j 1.2 には、信頼できないデータの逆シリアル化に対して脆弱な SocketServer クラスが含まれています。この脆弱性は、信頼できないネットワーク トラフィックからログ データを取得する際に、逆シリアル化ガジェットと組み合わせることで、リモートで任意のコードを実行するために悪用される可能性があります。
基本CVSSスコア:9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2022-23302
基本スコア: 8.8 ベクトル: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
脆弱性のあるApache Log4jバージョン:1.x
Log4j 1.x のすべてのバージョンに含まれる JMSSink は、攻撃者が Log4j の設定ファイルへの書き込み権限を持っている場合、または設定ファイルが攻撃者がアクセスできる LDAP サービスを参照している場合に、信頼できないデータの逆シリアル化に対して脆弱です。攻撃者は TopicConnectionFactorBinderingName の設定を提供することで、JMSSink が CVE-2021-4104 と同様の方法でリモート コード実行につながる JNDI リクエストを実行するように仕向けることができます。
この問題は、Log4j 1.x を JMSSink を使用するように明示的に設定した場合にのみ影響します。JMSSink はデフォルト設定ではありません。
Red Hatの記事には以下の詳細が含まれています。
JavaログライブラリであるApache Log4jのバージョン1.xに脆弱性が発見されました。デプロイされたアプリケーションがJMSSinkを使用するように構成されている場合、リモートの攻撃者がサーバー上でコードを実行できる可能性があります。
CVE-2022-23305
基本スコア: 9.8 ベクトル: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性のあるApache Log4jバージョン:1.2.x
CVEによると、Log4j 1.2.xのJDBCAppenderは、設定パラメータとしてSQL文を受け付けますが、挿入される値はPatternLayoutからのコンバータです。メッセージコンバータである%mは、常に含まれている可能性があります。これにより、攻撃者は、ログに記録されるアプリケーションの入力フィールドやヘッダーに細工された文字列を入力することでSQLを操作し、意図しないSQLクエリを実行させることができます。
このCVEは、Log4j 1.2.xを使用し、Windchillの標準構成ではないJDBCAppenderを使用するように特別に構成されているアプリケーションのみに影響します。
CVE-2022-23307
基本スコア: 9.8 ベクトル: CVSS3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性のあるApache Log4jバージョン:1.2.x
Log4j 1.2.x のログビューアである Chainsaw に、任意のコード実行を引き起こす可能性のある逆シリアル化の問題があります。この脆弱性は以前は CVE-2020-9493 と呼ばれていましたが、修正版の Apache Chainsaw 2.1.0 がリリースされています。Log4j はデフォルトでは Chainsaw を使用するように設定されていません。
Red Hatによると、log4j 1.xのチェーンソーコンポーネントに脆弱性が発見され、特定のログエントリの内容が逆シリアル化される際に、コード実行を許してしまう可能性があるとのことです。
この CVE は、SocketAppender を使用して送信される LoggingEvent オブジェクトをリッスンするために Chainsaw とその機能を使用するアプリケーションのみに影響します。SocketAppender は、標準の Windchill 構成では有効になっておらず、Windchill コードベースからも呼び出されていません。
補足事項:
Log4j 1.x は、Log4j 2.x に対して報告された CVE-2021-44228 の影響を受けないことが確認されました。CS358789を参照してください。
サードパーティ製バンドルコンポーネントへの影響:
上記の「適用対象」欄に記載されている製品リリースにはすべて、log4j1.2.17バージョンが含まれています。
特定されたCVEに関連する脆弱性のあるApache Log4jのバージョン:1.2.Xのすべてのバージョン(1.2.17まで)
CVE-2021-4104
Log4j 1.x では、log4j の設定ファイルで有効になっている場合、JMSAppender は JNDI ルックアップを実行します。Log4j 1.x を使用するアプリケーションで、設定に JNDI (JMSAppender) が使用されている場合、影響を受ける可能性があります。
基本 CVSS スコア: 7.5 CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Red HatはRHSB-2021-009( CVE-2021-4104 )を特定しました。
https://access.redhat.com/security/cve/CVE-2021-4104
Red Hat Bugzillaの記事には、さらに詳しい情報が記載されています。
JavaログライブラリであるApache Log4jのバージョン1.xに脆弱性が発見されました。デプロイされたアプリケーションがJMSAppenderを使用するように構成されている場合、リモートの攻撃者がサーバー上でコードを実行できる可能性があります。
CVE-2021-4104は、製品がJMSAppenderを使用するように特別に構成されている場合にのみLog4j 1.2に影響します。これはWindchillの標準構成ではありません。
CVE-2019-17571
Log4j 1.2 には、信頼できないデータの逆シリアル化に対して脆弱な SocketServer クラスが含まれています。この脆弱性は、信頼できないネットワーク トラフィックからログ データを取得する際に、逆シリアル化ガジェットと組み合わせることで、リモートで任意のコードを実行するために悪用される可能性があります。
基本CVSSスコア:9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- SocketServer/SimpleSocketServer の脆弱性クラスの使用は、Log4J の SocketAppender の機能として登場します。SocketAppender は LoggingEvent オブジェクトをリモートのログサーバー (通常は SocketNode) に送信します。SocketNode は、ソケット (TCP) を使用してリモート クライアントから送信された LoggingEvent オブジェクトを読み取ります。これらのログ イベントは、ローカル ポリシーに従って、ローカルで生成されたかのようにログに記録されます。SocketAppender は、レイアウトのないシリアル化された LoggingEvent オブジェクトをサーバー側に送信します。リモート ホストでは、逆シリアル化することで同じ情報すべてにアクセスでき、ログの出力レイアウトを指定できます。
- log4jのSocketServerクラスを介してリモートログにアクセスする機能(脆弱性が存在する箇所)は、Windchillの標準機能では有効になっておらず、Windchillのコードベースにもそのような呼び出しはありません。さらに、この機能を有効化/実行する方法について言及しているWindchillのドキュメントもありません。
CVE-2022-23302
基本スコア: 8.8 ベクトル: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
脆弱性のあるApache Log4jバージョン:1.x
Log4j 1.x のすべてのバージョンに含まれる JMSSink は、攻撃者が Log4j の設定ファイルへの書き込み権限を持っている場合、または設定ファイルが攻撃者がアクセスできる LDAP サービスを参照している場合に、信頼できないデータの逆シリアル化に対して脆弱です。攻撃者は TopicConnectionFactorBinderingName の設定を提供することで、JMSSink が CVE-2021-4104 と同様の方法でリモート コード実行につながる JNDI リクエストを実行するように仕向けることができます。
この問題は、Log4j 1.x を JMSSink を使用するように明示的に設定した場合にのみ影響します。JMSSink はデフォルト設定ではありません。
Red Hatの記事には以下の詳細が含まれています。
JavaログライブラリであるApache Log4jのバージョン1.xに脆弱性が発見されました。デプロイされたアプリケーションがJMSSinkを使用するように構成されている場合、リモートの攻撃者がサーバー上でコードを実行できる可能性があります。
CVE-2022-23305
基本スコア: 9.8 ベクトル: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性のあるApache Log4jバージョン:1.2.x
CVEによると、Log4j 1.2.xのJDBCAppenderは、設定パラメータとしてSQL文を受け付けますが、挿入される値はPatternLayoutからのコンバータです。メッセージコンバータである%mは、常に含まれている可能性があります。これにより、攻撃者は、ログに記録されるアプリケーションの入力フィールドやヘッダーに細工された文字列を入力することでSQLを操作し、意図しないSQLクエリを実行させることができます。
このCVEは、Log4j 1.2.xを使用し、Windchillの標準構成ではないJDBCAppenderを使用するように特別に構成されているアプリケーションのみに影響します。
CVE-2022-23307
基本スコア: 9.8 ベクトル: CVSS3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性のあるApache Log4jバージョン:1.2.x
Log4j 1.2.x のログビューアである Chainsaw に、任意のコード実行を引き起こす可能性のある逆シリアル化の問題があります。この脆弱性は以前は CVE-2020-9493 と呼ばれていましたが、修正版の Apache Chainsaw 2.1.0 がリリースされています。Log4j はデフォルトでは Chainsaw を使用するように設定されていません。
Red Hatによると、log4j 1.xのチェーンソーコンポーネントに脆弱性が発見され、特定のログエントリの内容が逆シリアル化される際に、コード実行を許してしまう可能性があるとのことです。
この CVE は、SocketAppender を使用して送信される LoggingEvent オブジェクトをリッスンするために Chainsaw とその機能を使用するアプリケーションのみに影響します。SocketAppender は、標準の Windchill 構成では有効になっておらず、Windchill コードベースからも呼び出されていません。
補足事項:
Log4j 1.x は、Log4j 2.x に対して報告された CVE-2021-44228 の影響を受けないことが確認されました。CS358789を参照してください。
| 風冷効果 | Apache Log4j バージョン | 追加情報 |
| 11.0 M030 | log4j 1.x | 即時対応を強く推奨します(PTCの推奨事項については「解決策」セクションを参照してください)。 |
| 11.1 M020以前 11.2.1 FlexPLM 11.1 M010 FlexPLM 11.1 M020 FlexPLM 11.2.1 FlexPLM 12.0.0 | log4j 1.x | 即時対応を強く推奨します(PTCの推奨事項については、解決策のセクションを参照してください)。 |
サードパーティ製バンドルコンポーネントへの影響:
- サポートされているサードパーティ製のバンドルコンポーネントにも脆弱性がある可能性があります。
- Solr
- Cognos
- Tibco
- PTCは、各ベンダーと協力して、影響、悪用可能性、および推奨される対策を特定しています。さらに、セキュリティリスクを軽減するための暫定的な措置を検討するため、社内調査も進行中です。
- 各サードパーティコンポーネントの最新情報については、下記の表(解決策のセクション)を参照してください。
- FlexPLM – 推奨される手順に従ってください。追加の考慮事項は、入手可能になり次第提供されます。
- Navigate/ThingWorx – CS359107
- Ping Federate - 分析中
- Wincom – 拡張機能において、log4j v1 が直接的に使用されたことは現在も過去もありません。このライブラリは、コード内の依存関係を満たすために含まれていました。分析の結果、攻撃対象領域や既知の脆弱性は存在しないことが確認されています。log4j 1.x への参照は Windchill Extension Platform 1.11.2 で削除されましたが、windchill-extensions.ptc.com から入手可能な最新バージョン 1.12.2 への移行をお勧めします。
最新バージョンはこちらを参照ください CS359009