PTCの対策方針について
Apache Log4j 2CVE-2021-44228およびCVE2021-45046の修復については、PTCは、Apacheからの修復で説明されているように、JNDILookup.classを削除することをお勧めします。 これまでのPTCのテスト(2021年12月10日から12月15日)を通じて、この方法による悪影響は確認しておりません。 また当社の製品において動的にロードする機能も使用しておりませんので、修復アクションは、脆弱性の低減への貢献および製品における影響リスクを下げ、両方に対して効果的であると言えます。 この変更によるリスクは、アプリケーションのロギングサブシステムに限定されており、万が一問題が起きた場合でも、この脆弱性の露出よりもはるかに影響は少ないと言えます。 お客様は、公式の認定を待っている間においても、脆弱性を先制的に修正することで、この重大な問題への即時の露出を減らすことができます。
以下に示すPTCの修復ドキュメントでは、Log4j 2がサードパーティアプリケーションに組み込まれている場所とそれらを修復方法についても説明しております。 PTCのソフトウェアはLog4j 2を使用していない可能性もありますが、これらのサードパーティコンポーネントがそれらを組み込んでいる可能性がありますので、同様に修正する必要があります。 PTCがLog4j 2を利用している場合は、Log4j 2の更新版を含んだパッチを作成いたします。 ただしお客様はこれらを待つのではなく、システムを安全に保護するために、早急に介入手順を実行するようお願いいたします。 この推奨事項は、以下に示すように、開発およびテストシステム、本番および一部のデスクトップアプリケーションを含む、お客様が使用する可能性のあるすべてのインストールに適用されます。
"PTCは、システムプロパティを使用して機能を無効にする代替修復オプションを推奨しないことと決定しました。 私たちとしては、これらはアプリケーションを介してプロパティを適切に渡す際に障害シナリオになりがちであり、さらに悪いことに、将来的にもシステムを適切に保護できない可能性があるためです。 2021年12月15日の時点でも、このメソッドについては、以下のサイトでも無効であると宣言されています: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups
2021年12月14日に公開された Apache Log4j 1.x のCVE-2021-4041について (https://bugzilla.redhat.com/show_bug.cgi?id=2031667)PTCは各製品における必要な修復手順を積極的に調査しています。 説明にあるJMSAppenderメソッドは、攻撃者がJMSブローカーとJNDI/ LDAP攻撃ベクトルに対して利用できるLog4j2の脆弱性のようなシナリオです。 この脆弱性を有効にするには、システムへの管理アクセスが必要です。この機能はデフォルトで無効になっています。 このCVEの結果として生じる重大度は、それを有効にするために必要な手間を考えると中程度のリスクですが、もしお客様がこの機能を独自に使用を有効化にしている場合は、このCVEにある修復手順適用を検討する必要があります。PTCは、今後も更なる情報がありましたら、この脆弱性パスについて引き続き多くの情報を開示していきます。
主要製品による推奨される調停
以下にリストされていない製品については、情報がわかり次第、推奨されるアクションについて公開します。 今後の更新については、このアラートを参照してください。
不明な点がありましたら、www.ptc.com/supportよりお問い合わせください。
AdaWorld
Log4jCVE2021-44228の脆弱性に対して脆弱ではありません。
Updated December 15, 2021 at 8:08 p.m.
ApexAda
Log4jCVE2021-44228の脆弱性に対して脆弱ではありません。
Updated December 15, 2021 at 8:08 p.m.
Arena
Log4jCVE2021-44228の脆弱性に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
Atlas
解決済み。 12月10日(金) 5:30AM(EST)
Arbortext
https://www.ptc.com/ja/support/article/CS358998
Updated December 15, 2021 at 9:45 a.m.
Arbortext Content Dilivery
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 15, 2021 at 11:25 a.m.
Arbortext IsoDraw
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Axeda
https://www.ptc.com/ja/support/article/CS358990
Updated December 14, 2021 at 11:45 p.m.
CADDS5
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 14, 2021 at 11:45 p.m.
Creo Direct
https://www.ptc.com/ja/support/article/CS358831
Updated December 15, 2021 at 4:49 p.m.
Creo Elements Direct
https://www.ptc.com/ja/support/article/CS358965
Updated December 15, 2021 at 8:08 a.m.
Creo Generative Design
Log4j CVE2021-44228に対して脆弱ではありません。 アクション不要。
Updated December 15, 2021 at 8:08 a.m.
Creo Illustrate
Log4j CVE2021-44228に対して脆弱ではありません。 アクション不要。
Creo Layout
https://www.ptc.com/ja/support/article/CS358831
Updated December 15, 2021 at 4:49 p.m.
Creo Parametric
https://www.ptc.com/ja/support/article/CS358831
Updated December 15, 2021 at 8:08 a.m.
Creo Schematics
https://www.ptc.com/ja/support/article/CS358831
Updated December 15, 2021 at 8:08 a.m.
Creo Simulate
https://www.ptc.com/ja/support/article/CS358831
Updated December 15, 2021 at 4:49 p.m.
Creo View
Log4j CVE2021-44228に対して脆弱ではありません。 アクション不要。
Creo View Adapters
https://www.ptc.com/ja/support/article/CS359116
Updated December 15, 2021 at 8:08 p.m.
Kepware
https://www.ptc.com/ja/support/article/CS358996
Updated December 15, 2021 at 8:45 a.m.
MKS Implementer
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 14, 2021 at 11:45 p.m.
MKS Toolkit
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 14, 2021 at 11:45 p.m.
MKS Toolkit
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 14, 2021 at 11:45 p.m.
ObjectAda
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 15, 2021 at 8:08 p.m.
Onshape
解決済み。 12月10日(金) 9:30AM(EST)
Updated December 14, 2021 at 11:45 p.m.
Optegra
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 14, 2021 at 11:45 p.m.
Perc
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
PTC Modeler
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
Service Knowlegde Diagnostics (SKD)
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 14, 2021 at 11:45 p.m.
Servigistics
https://www.ptc.com/ja/support/article/CS358886
Updated December 14, 2021 at 11:45 p.m.
TeleUSE
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 15, 2021 at 8:08 p.m.
ThingWorx Analytics
https://www.ptc.com/ja/support/article/CS358901
Updated December 15, 2021 at 9:45 a.m.
ThingWorx Platform
https://www.ptc.com/ja/support/article/CS358901
Updated December 14, 2021 at 11:58 p.m.
Vuforia Chalk
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
Vuforia Engine SDK
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
Vuforia Engine Server
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 16, 2021 at 12:56 p.m.
Vuforia Expert Capture
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
Vuforia Instruct
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
Vuforia Studio
Log4j CVE2021-44228に対して脆弱ではありません。 This update Includes Vuforia Experience Service and Vuforia View.
Updated December 17, 2021 at 12:08 p.m.
Webship and MOVE
Log4j CVE2021-44228に対して脆弱ではありません。Log4j1.xに関して調査中。
Updated December 14, 2021 at 11:58 p.m.
Windchill Navigate
https://www.ptc.com/ja/support/article/CS359107
Updated December 14, 2021 at 5 p.m.
Windchill PLM and FlexPLM
https://www.ptc.com/ja/support/article/CS358789
Updated December 14, 2021 at 11:58 p.m.
Windchill Risk and Reliability
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 14, 2021 at 11:45 p.m.
Windchill RV&S
https://www.ptc.com/ja/support/article/CS358804
Updated December 14, 2021 at 11:58 p.m.
X32Plus
Log4j CVE2021-44228に対して脆弱ではありません。
Updated December 15, 2021 at 8:08 p.m.
サードパーティ製品/ツールにおける推奨対策
以下にリストされていない製品については、情報がわかり次第、推奨されるアクションについて公開します。今後の更新については、このアラートを参照してください。
もしPTCへお問い合わせを希望する場合には、こちらのサイトよりお願いします: www.ptc.com/support.
Adobe Experience Manager (AEM)
https://www.ptc.com/ja/support/article/CS359116
Updated December 15, 2021 at 8:08 p.m.
Cognos
報告された影響と推奨される修復手順については、IBMが公開した更新ページを参照してください。 ApacheLog4jCVE-2021-44228の脆弱性に関する更新:
差し迫った懸念に対処するために、詳細が確認されるまでCognosをオフにする場合があります。 レポートの生成は、解決されるまで無効になります。 他のすべての製品機能は通常のままです。
- WindchillとCognos: https://www.ptc.com/ja/support/article/CS359007
Updated December 15, 2021 at 8:08 p.m.
Ping Federate
https://www.ptc.com/ja/support/article/CS358902
Updated December 14, 2021 at 11:58 p.m.
Solr
Solr関連の影響および推奨される修復手順については、ApacheSolrが公開しているアドバイザリを参照してください。ApacheLog4Jの影響を受けるApacheSolr CVE-202144228
差し迫った懸念に対処するために、詳細が確認されるまでSolrをオフにすることができます。 レポートの生成は、解決されるまで無効になります。他のすべての製品機能は通常のままです。
- WindchillとSolr:https://www.ptc.com/ja/support/article/CS359011
Updated December 15, 2021 at 8:08 p.m.
TIBCO
Tibcoが報告した影響と推奨される修復手順については、TIBCOが公開した記事を参照してください: TIBCO Log4j Vulnerability Daily Update
- WindchillとTIBCO:https://www.ptc.com/ja/support/article/CS359008
Updated December 15, 2021 at 8:08 p.m.