Apache Log4jのセキュリティ脆弱性のPTC製品への影響について
2021年12月22日現在、Apache Log4jのセキュリティ脆弱性問題についてあちらこちらのニュースでご覧になったお客様もいらっしゃるかと思います。まだご覧になっていない方も、GoogleやYahooなどで「Log4j」で検索すると多数のニュースが表示されるので是非ご確認ください。
PTC製品への影響
さて、Apache Log4jのPTC製品への影響についてですが、PTCのホームページに対応状況が掲載されております。PTC製品をご利用中のお客様は是非ご確認ください。
Log4j Security Vulnerability Response Center(PTC社WEBサイト) (英語版)
Log4j セキュリティ脆弱性 レスポンスセンター(PTC社WEBサイト) (日本語版)
(注)Apache Log4jのセキュリティ脆弱性に関する影響はPTC製品に限定されていません。PTC以外の製品をご利用のお客様も、この機会に使用している製品が影響を受けるのか否か、ご確認されることをお勧めします。
主なPTC製品についての対応状況
主なPTC製品についての対応状況は、以下の通りです。
Creo Parametric
Creo Parametric 本体については、Log4jセキュリティの脆弱性の影響を
受けません。
Creo Parametricのライセンス管理ソフト「Flexnet」
リスク軽減のため、これらのファイルを削除することをお勧めいたします。
C:\Program Files\PTC\FLEXnet Admin License
Server\examples\alerter\lib\log4j-1.2-api-2.13.3.jar
C:\Program Files\PTC\FLEXnet Admin License
Server\examples\alerter\lib\log4j-api-2.13.3.jar
C:\Program Files\PTC\FLEXnet Admin License
Server\examples\alerter\lib\log4j-core-2.13.3.jar
※バージョン番号「2.13.3」は異なる場合がございます。
上記ファイルは単なるサンプルコードであり、製品で使用されておりませんが、
PTCではリスク軽減のため削除を提案しております。
Windchill
※Windchillのバージョン「11.1 M020」および「11.2.1」より以前のバージョンについては、脆弱性の影響を受けません。
※Windchillのバージョン「12.0.2.0」をご使用のお客様については、脆弱性がございますので、PTCの関連アーティクル「CS358789」の解決策を実施していただくか、「CPS03」の適用をご検討ください(12月22日リリース予定)。
※関連アーティクル「CS358789」(全文閲覧には有効なサポート契約が必要です。)
CS358789 / Apache Log4jセキュリティの脆弱性 (CVE-2021-44228) WindchillおよびFlexPLMへの影響(PTC社WEBサイト)
Creo Elements / Direct
Log4jセキュリティの脆弱性の影響を受けません。
Model Manager
※20.3および20.4に対して、リスクを軽減するためにlog4j-core-2.12.1.jarファイルから脆弱なJNDILookup.classを削除するために、PTCの関連アーティクル「CS358789」の解決策の実施をご検討ください。
※関連アーティクル「CS358965」(全文閲覧には有効なサポート契約が必要です。)
CS358789 / CS358965 / Creo Elements / Direct ModelManagerのLog4jファイルに関するセキュリティの問題(PTC社WEBサイト)