PTC 的修复策略

针对 Apache Log4j 2 CVE-2021-44228 和 CVE 2021-45046 的修复，PTC 建议删除 JNDILookup.class，正如 Apache 在提供的修复中所述。在 PTC 迄今为止的整个测试过程中（2021 年 12 月 10 日至 12 月 15 日），使用此方法没有产生任何不利影响。PTC 没有在我们的产品中使用这种动态加载功能，该修复方法对漏洞有效并且对我们产品风险非常低。此更改的任何风险都仅限于应用程序的日志记录子系统，并且由此产生的任何错误都远没有此漏洞的暴露那么严重。客户可以在等待官方认证的同时抢先修复漏洞，以减少其对这一关键问题的直接暴露。

在下面提供的 PTC 修复文档中，我们还将阐明 Log4j 2 在第三方应用程序中的嵌入位置以及如何修复这些应用程序。虽然 PTC 的软件可能没有使用 Log4j 2，但这些第三方组件可能已经嵌入了它们，因而应该以类似的方式修复它们。对于使用了 Log4j 2 的 PTC 产品，我们将使用更新的 Log4j 2 版本生成修补程序。但是，客户应该立即采取干预措施来保护系统而不是等待。此建议适用于客户的所有安装，包括开发和测试系统以及如下所示的生产系统以及一些桌面应用程序。

PTC 已经决定不推荐使用系统属性禁用该功能的这一替代修复选项。我们的立场是，这些在通过应用程序正确传递属性时容易出现故障情况。更糟糕的是，将来可能会被排除在外，可能无法充分保护您的系统。在 2021 年 12 月 15 日，此方法也已在公告中被声明无效：https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups

关于 2021 年 12 月 14 日发布的 Apache Log4j 1.x CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) PTC 目前正在积极调查每个产品所需的任何修复步骤。所描述的 JMSAppender 方法会产生类似于 Log4j 2 中的漏洞的场景，攻击者可以利用 JMS Broker 对抗 JNDI/LDAP 攻击向量。此漏洞需要对系统的管理访问权限以启用此功能，默认情况下此功能处于禁用状态。考虑到启用它所需的干预操作，此 CVE 的严重性为中等风险。如果客户给自己启用了此功能，则需要考虑为此 CVE 提供的修复步骤。当获取到更多可用信息时，PTC 将披露更多有关此漏洞路径的信息。

按核心产品推荐的修复措施

对于未在下面列出的产品，我们将在确认到修复措施后提供更新。 请参考此警报以获取未来的更新。

如果您需要联系 PTC，请访问：www.ptc.com/support.

AdaWorld

不易受到 Log4j CVE2021-44228 漏洞的影响。

Updated December 15, 2021 at 8:08 p.m.
ApexAda

不易受到 Log4j CVE2021-44228 漏洞的影响。

Updated December 15, 2021 at 8:08 p.m.
Arena

不易受到 Log4j CVE2021-44228 漏洞的影响。

Updated December 14, 2021 at 11:45 p.m.
Atlas

已于北京时间 2021 年 12 月 10 日（星期五）18:30 解决。
Arbortext

https://www.ptc.com/cn/support/article/CS358998

Updated December 15, 2021 at 9:45 a.m.
Arbortext Content Delivery

不易受到 Log4j CVE-2021-44228 漏洞的影响，对 Log4j 1.x 的分析正在进行中。

Updated December 15, 2021 at 11:25 a.m.
Arbortext IsoDraw

不易受到 Log4j CVE-2021-44228 漏洞的影响，对 Log4j 1.x 的分析正在进行中。
Axeda

https://www.ptc.com/cn/support/article/CS358990

Updated December 14, 2021 at 11:45 p.m.
CADDS5

不易受到 Log4j CVE-2021-44228 漏洞的影响，对 Log4j 1.x 的分析正在进行中。

Updated December 14, 2021 at 11:45 p.m.
Creo Direct

https://www.ptc.com/cn/support/article/CS358831

Updated December 15, 2021 at 4:49 p.m.
Creo Elements Direct

https://www.ptc.com/cn/support/article/CS358965

Updated December 15, 2021 at 8:08 a.m.
Creo Generative Design

不易受到 Log4j CVE-2021-44228 漏洞的影响，无需采取进一步行动。

Updated December 15, 2021 at 8:08 a.m.
Creo Illustrate

不易受到 Log4j CVE-2021-44228 漏洞的影响，无需采取进一步行动。
Creo Layout

https://www.ptc.com/cn/support/article/CS358831

Updated December 15, 2021 at 4:49 p.m.
Creo Parametric

https://www.ptc.com/cn/support/article/CS358831

Updated December 15, 2021 at 8:08 a.m.
Creo Schematics

https://www.ptc.com/cn/support/article/CS358831

Updated December 15, 2021 at 8:08 a.m.
Creo Simulate

https://www.ptc.com/cn/support/article/CS358831

Updated December 15, 2021 at 4:49 p.m.
Creo View

不易受到 Log4j CVE-2021044228 漏洞的影响，无需采取进一步行动。
Creo View Adapters

https://www.ptc.com/cn/support/article/CS359116

Updated December 15, 2021 at 8:08 p.m.
Kepware

https://www.ptc.com/cn/support/article/CS358996

Updated December 15, 2021 at 8:45 a.m.
MKS Implementer

不易受到 Log4j CVE-2021-44228 漏洞的影响，对 Log4j 1.x 的分析正在进行中。

Updated December 14, 2021 at 11:45 p.m.
MKS Toolkit

不易受到 Log4j CVE-2021-44228 漏洞的影响，对 Log4j 1.x 的分析正在进行中。

Updated December 14, 2021 at 11:45 p.m.
MKS Toolkit

不易受到 Log4j CVE-2021-44228 漏洞的影响，对 Log4j 1.x 的分析正在进行中。

Updated December 14, 2021 at 11:45 p.m.
ObjectAda

不易受到 Log4j CVE2021-44228 漏洞的影响。.

Updated December 15, 2021 at 8:08 p.m.
Onshape

已于北京时间 2021 年 12 月 10 日（星期五）22:30 解决。

Updated December 14, 2021 at 11:45 p.m.
Optegra

不易受到 Log4j CVE-2021-44228 漏洞的影响，对 Log4j 1.x 的分析正在进行中。

Updated December 14, 2021 at 11:45 p.m.
Perc

不易受到 Log4j CVE2021-44228 漏洞的影响。

Updated December 14, 2021 at 11:45 p.m.
Service Knowlegde Diagnostics (SKD)

不易受到 Log4j CVE-2021-44228 漏洞的影响，对 Log4j 1.x 的分析正在进行中。

Updated December 14, 2021 at 11:45 p.m.
Servigistics

https://www.ptc.com/cn/support/article/CS358886

Updated December 14, 2021 at 11:45 p.m.
TeleUSE

不易受到 Log4j CVE2021-44228 漏洞的影响。

Updated December 15, 2021 at 8:08 p.m.
ThingWorx Analytics

https://www.ptc.com/cn/support/article/CS358901

Updated December 15, 2021 at 9:45 a.m.
ThingWorx Navigate

https://www.ptc.com/cn/support/article/CS359107

Updated December 14, 2021 at 5 p.m.
ThingWorx Platform

https://www.ptc.com/cn/support/article/CS358901

Updated December 14, 2021 at 11:58 p.m.
Vuforia Chalk

不易受到 Log4j CVE2021-44228 漏洞的影响。

Updated December 14, 2021 at 11:45 p.m.
Vuforia Engine SDK

不易受到 Log4j CVE2021-44228 漏洞的影响。

Updated December 14, 2021 at 11:45 p.m.
Vuforia Engine Server

不易受到 Log4j CVE2021-44228 漏洞的影响。

Updated December 16, 2021 at 12:56 p.m.
Vuforia Expert Capture

不易受到 Log4j CVE2021-44228 漏洞的影响。

Updated December 14, 2021 at 11:45 p.m.
Vuforia Instruct

不易受到 Log4j CVE2021-44228 漏洞的影响。

Updated December 14, 2021 at 11:45 p.m.
Vuforia Studio

不易受到 Log4j CVE2021-44228 漏洞的影响。 This update Includes Vuforia Experience Service and Vuforia View.

Updated December 17, 2021 at 12:08 p.m.
Webship and MOVE

不易受到 Log4j CVE-2021-44228 漏洞的影响，对 Log4j 1.x 的分析正在进行中。

Updated December 14, 2021 at 11:58 p.m.
Windchill Modeler

不易受到 Log4j CVE2021-44228 漏洞的影响。

Updated December 14, 2021 at 11:45 p.m.
Windchill PLM and FlexPLM

https://www.ptc.com/cn/support/article/CS358789

Updated December 14, 2021 at 11:58 p.m.
Windchill Risk and Reliability

不易受到 Log4j CVE2021-44228 漏洞的影响。

Updated December 14, 2021 at 11:45 p.m.
Windchill RV&S

https://www.ptc.com/cn/support/article/CS358804

Updated December 14, 2021 at 11:58 p.m.
X32Plus

不易受到 Log4j CVE2021-44228 漏洞的影响。

Updated December 15, 2021 at 8:08 p.m.

第三方产品/工具推荐的修复措施

对于未在下面列出的产品，我们将在确认到修复措施后提供更新。请参考此警报以获取未来的更新。

如果您需要联系 PTC，请访问：www.ptc.com/support.

Adobe Experience Manager (AEM)

https://www.ptc.com/cn/support/article/CS359116

Updated December 15, 2021 at 8:08 p.m.
Cognos
请参阅 IBM 发布的更新页面了解已经报告的影响和建议的修复措施：An update on the Apache Log4j CVE-2021-44228 vulnerability

如需解决任何紧迫问题，可能需要关闭 Cognos 直到确认到更多详情，报告生成功能将被禁用直到问题解决。所有其他产品功能将保持正常。
- Windchill 和 Cognos： https://www.ptc.com/cn/support/article/CS359007
Updated December 15, 2021 at 8:08 p.m.
Ping Federate

https://www.ptc.com/cn/support/article/CS358902

Updated December 14, 2021 at 11:58 p.m.
Solr
请参阅 Apache Solr 发布的有关 Solr 相关影响和建议的修复步骤公告：Apache Solr affected by Apache Log4J CVE-202144228

如需解决任何紧迫问题，可能需要关闭 Solr 直到确认到更多详情，索引搜索将被禁用直到问题解决。所有其他产品功能将保持正常。
- Windchill 和 Solr：https://www.ptc.com/cn/support/article/CS359011
Updated December 15, 2021 at 8:08 p.m.
TIBCO
请参阅 TIBCO 发布的文章了解已经报告的 TIBCO 相关影响和建议的修复措施：TIBCO Log4j Vulnerability Daily Update
- Windchill 和 TIBCO： https://www.ptc.com/cn/support/article/CS359008
Updated December 15, 2021 at 8:08 p.m.

Log4j 安全漏洞响应中心

PTC 的修复策略

按核心产品推荐的修复措施

AdaWorld

ApexAda

Arena

Atlas

Arbortext

Arbortext Content Delivery

Arbortext IsoDraw

Axeda

CADDS5

Creo Direct

Creo Elements Direct

Creo Generative Design

Creo Illustrate

Creo Layout

Creo Parametric

Creo Schematics

Creo Simulate

Creo View

Creo View Adapters

Kepware

MKS Implementer

MKS Toolkit

MKS Toolkit

ObjectAda

Onshape

Optegra

Perc

Service Knowlegde Diagnostics (SKD)

Servigistics

TeleUSE

ThingWorx Analytics

ThingWorx Navigate

ThingWorx Platform

Vuforia Chalk

Vuforia Engine SDK

Vuforia Engine Server

Vuforia Expert Capture

Vuforia Instruct

Vuforia Studio

Webship and MOVE

Windchill Modeler

Windchill PLM and FlexPLM

Windchill Risk and Reliability

Windchill RV&S

X32Plus

第三方产品/工具推荐的修复措施

Adobe Experience Manager (AEM)

Cognos

Ping Federate

Solr

TIBCO