SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

PTC製品へのApache Log4j2の影響について

IoT
2021.12.16

2021年12月16日現在、Java向けのログ出力ライブラリー「Apache Log4j」で見つかったゼロデイ脆弱性に対して注意喚起がなされていますが、PTCからも製品への影響に対する報告、及び対処法が公開されました。

これに伴いPTCからも報告・見解が出ておりますので、PTC製品全般とThingWorxの無料Trialついて簡単に触れさせていただきます。


PTC製品への影響について

対処法については下記のページにて詳細が掲載されております。

外部リンク:Log4j Security Vulnerability Response Center

現状JNDILookup.classを削除することで対処するよう呼び掛けております。該当製品は上記リンク先にも記載されていますが、主に主要製品だとCreo、Windchill、ThingWorxが該当となります。これらについては時期修正版がリリースされるようですが、既存のホスト版利用者はリンク先にある各製品の対応策のリンクを参照いただければと思います。

Onshapeについては既に対応済みと記載があります。Vuforiaに関しては今回影響はないようです。

無料Trialの影響について(ThingWorx)

今回の脆弱性報告を受けてThingWorx Developer Portalでも一旦ThingWorxの無料Trial(PTC Cloud)の提供を一時停止しています。(2021/12/15より)詳細については以下リンクをご参照ください。

外部リンク:Log4j Vulnerability Remediation Plan

Local版についてはダウンロード可能ですが、脆弱性に対する修正がなされているわけではない為、その点ご注意ください。


PLMなどはローカルネットワーク内で完結しているケースが多いと思いますが、ThingWorxは利用方法によっては外部公開しているケースもありますので現在の利用状況をご確認の上、セキュリティの対応をお願いいたします。もしご不明な点がございましたらテクニカルサポートの窓口までお問い合わせ下さい。

著者紹介

SB C&S株式会社
クラウド・ソフトウェア推進本部
CAD&ドローン&AR事推課
長谷川 裕