Log4j Version 2

Die betroffenen Versionen von Log4j sind: Log4j core 2.0-beta9 bis 2.14.1.

PTC hat erst mit dem Release von Windchill 12.0.2 auf Log4j mit der Version 2 umgestellt. Vorgängerversionen verwenden kein Log4j V2.

Unsere Schnittstelle IFConneX nutzt keine eigenen Log4j Bibliotheken, sondern lediglich diese, die in Windchill enthalten sind.

Sollten Sie also Windchill 12.0.2 einsetzen, sprechen Sie bitte mit Ihrem Windchill Implementierungspartner.

Unser Produkt ReleaseEngine verwendet Log4j in der Version 2 nicht.

Log4j Version 1

Log4j V1 betrifft alle Windchill-Versionen vor 12.0.2.

Auch in diesem Fall liefert Innoface keine eigenen Log4j Bibliotheken aus und verwendet lediglich die von Windchill installierten.

Release Engine:

Die Innoface Produkte ECE 1.x und RE 2.x verwenden Log4j Version 1.

Innoface verwendet den JMSAppender nicht in seinen Softwareprodukten.

Generell gilt nach derzeitigem Stand für Log4j V1:

Die Schwachstelle für Log4j V1 ist in CVE-2021-4104 beschrieben.

Gemäß der CVE-Schwachstellenanalyse ist Log4j V1 nur dann betroffen, wenn die Verwendung des „JMSAppender“ in der Konfiguration spezifiziert ist.

Dies ist sowohl in der Default-Konfiguration als auch in der Innoface-Konfiguration für Log4j V1 nicht der Fall, jedoch kann diese Einstellung auch von anderen Projektbeteiligten durchgeführt werden.

Wir empfehlen Ihnen zu überprüfen, ob in einer der Log4j Konfigurationsdateien die Verwendung des JMSAppenders konfiguriert wurde.

Sollten sich neue Erkenntnisse ergeben, werden wir diese hier ergänzen.