• log4j

Log4j 安全漏洞响应中心

获取与 PTC 产品相关的 Log4j 安全漏洞的最新信息 (Apache Log4j CVE-2021-44228)

PTC 的修复策略

针对 Apache Log4j 2 CVE-2021-44228 和 CVE 2021-45046 的修复,PTC 建议删除 JNDILookup.class,正如 Apache 在提供的修复中所述。在 PTC 迄今为止的整个测试过程中(2021 年 12 月 10 日至 12 月 15 日),使用此方法没有产生任何不利影响。PTC 没有在我们的产品中使用这种动态加载功能,该修复方法对漏洞有效并且对我们产品风险非常低。此更改的任何风险都仅限于应用程序的日志记录子系统,并且由此产生的任何错误都远没有此漏洞的暴露那么严重。客户可以在等待官方认证的同时抢先修复漏洞,以减少其对这一关键问题的直接暴露。

在下面提供的 PTC 修复文档中,我们还将阐明 Log4j 2 在第三方应用程序中的嵌入位置以及如何修复这些应用程序。虽然 PTC 的软件可能没有使用 Log4j 2,但这些第三方组件可能已经嵌入了它们,因而应该以类似的方式修复它们。对于使用了 Log4j 2 的 PTC 产品,我们将使用更新的 Log4j 2 版本生成修补程序。但是,客户应该立即采取干预措施来保护系统而不是等待。此建议适用于客户的所有安装,包括开发和测试系统以及如下所示的生产系统以及一些桌面应用程序。

PTC 已经决定不推荐使用系统属性禁用该功能的这一替代修复选项。我们的立场是,这些在通过应用程序正确传递属性时容易出现故障情况。更糟糕的是,将来可能会被排除在外,可能无法充分保护您的系统。在 2021 年 12 月 15 日,此方法也已在公告中被声明无效:https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups

关于 2021 年 12 月 14 日发布的 Apache Log4j 1.x CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) PTC 目前正在积极调查每个产品所需的任何修复步骤。所描述的 JMSAppender 方法会产生类似于 Log4j 2 中的漏洞的场景,攻击者可以利用 JMS Broker 对抗 JNDI/LDAP 攻击向量。此漏洞需要对系统的管理访问权限以启用此功能,默认情况下此功能处于禁用状态。考虑到启用它所需的干预操作,此 CVE 的严重性为中等风险。如果客户给自己启用了此功能,则需要考虑为此 CVE 提供的修复步骤。当获取到更多可用信息时,PTC 将披露更多有关此漏洞路径的信息。

 

按核心产品推荐的修复措施

对于未在下面列出的产品,我们将在确认到修复措施后提供更新。 请参考此警报以获取未来的更新。

如果您需要联系 PTC,请访问:www.ptc.com/support.

  • AdaWorld

    不易受到 Log4j CVE2021-44228 漏洞的影响。

    Updated December 15, 2021 at 8:08 p.m.

  • ApexAda

    不易受到 Log4j CVE2021-44228 漏洞的影响。

    Updated December 15, 2021 at 8:08 p.m.

  • Arena

    不易受到 Log4j CVE2021-44228 漏洞的影响。

    Updated December 14, 2021 at 11:45 p.m.

  • Atlas

    已于北京时间 2021 年 12 月 10 日(星期五)18:30 解决。
  • Arbortext

    https://www.ptc.com/cn/support/article/CS358998

    Updated December 15, 2021 at 9:45 a.m.

  • Arbortext Content Delivery

    不易受到 Log4j CVE-2021-44228 漏洞的影响,对 Log4j 1.x 的分析正在进行中。

    Updated December 15, 2021 at 11:25 a.m.

  • Arbortext IsoDraw

    不易受到 Log4j CVE-2021-44228 漏洞的影响,对 Log4j 1.x 的分析正在进行中。
  • Axeda

    https://www.ptc.com/cn/support/article/CS358990

    Updated December 14, 2021 at 11:45 p.m.

  • CADDS5

    不易受到 Log4j CVE-2021-44228 漏洞的影响,对 Log4j 1.x 的分析正在进行中。

    Updated December 14, 2021 at 11:45 p.m.

  • Creo Direct

    https://www.ptc.com/cn/support/article/CS358831

    Updated December 15, 2021 at 4:49 p.m.

  • Creo Elements Direct

    https://www.ptc.com/cn/support/article/CS358965

    Updated December 15, 2021 at 8:08 a.m.

  • Creo Generative Design

    不易受到 Log4j CVE-2021-44228 漏洞的影响,无需采取进一步行动。

    Updated December 15, 2021 at 8:08 a.m.

  • Creo Illustrate

    不易受到 Log4j CVE-2021-44228 漏洞的影响,无需采取进一步行动。
  • Creo Layout

    https://www.ptc.com/cn/support/article/CS358831

    Updated December 15, 2021 at 4:49 p.m.

  • Creo Parametric

    https://www.ptc.com/cn/support/article/CS358831

    Updated December 15, 2021 at 8:08 a.m.

  • Creo Schematics

    https://www.ptc.com/cn/support/article/CS358831

    Updated December 15, 2021 at 8:08 a.m.

  • Creo Simulate

    https://www.ptc.com/cn/support/article/CS358831

    Updated December 15, 2021 at 4:49 p.m.

  • Creo View

    不易受到 Log4j CVE-2021044228 漏洞的影响,无需采取进一步行动。
  • Creo View Adapters

    https://www.ptc.com/cn/support/article/CS359116

    Updated December 15, 2021 at 8:08 p.m.

  • Kepware

    https://www.ptc.com/cn/support/article/CS358996

    Updated December 15, 2021 at 8:45 a.m.

  • MKS Implementer

    不易受到 Log4j CVE-2021-44228 漏洞的影响,对 Log4j 1.x 的分析正在进行中。

    Updated December 14, 2021 at 11:45 p.m.

  • MKS Toolkit

    不易受到 Log4j CVE-2021-44228 漏洞的影响,对 Log4j 1.x 的分析正在进行中。

    Updated December 14, 2021 at 11:45 p.m.

  • MKS Toolkit

    不易受到 Log4j CVE-2021-44228 漏洞的影响,对 Log4j 1.x 的分析正在进行中。

    Updated December 14, 2021 at 11:45 p.m.

  • ObjectAda

    不易受到 Log4j CVE2021-44228 漏洞的影响。.

    Updated December 15, 2021 at 8:08 p.m.

  • Onshape

    已于北京时间 2021 年 12 月 10 日(星期五)22:30 解决。

    Updated December 14, 2021 at 11:45 p.m.

  • Optegra

    不易受到 Log4j CVE-2021-44228 漏洞的影响,对 Log4j 1.x 的分析正在进行中。

    Updated December 14, 2021 at 11:45 p.m.

  • Perc

    不易受到 Log4j CVE2021-44228 漏洞的影响。

    Updated December 14, 2021 at 11:45 p.m.

  • Service Knowlegde Diagnostics (SKD)

    不易受到 Log4j CVE-2021-44228 漏洞的影响,对 Log4j 1.x 的分析正在进行中。

    Updated December 14, 2021 at 11:45 p.m.

  • Servigistics

    https://www.ptc.com/cn/support/article/CS358886

    Updated December 14, 2021 at 11:45 p.m.

  • TeleUSE

    不易受到 Log4j CVE2021-44228 漏洞的影响。

    Updated December 15, 2021 at 8:08 p.m.

  • ThingWorx Analytics

    https://www.ptc.com/cn/support/article/CS358901

    Updated December 15, 2021 at 9:45 a.m.

  • ThingWorx Navigate

    https://www.ptc.com/cn/support/article/CS359107

    Updated December 14, 2021 at 5 p.m.

  • ThingWorx Platform

    https://www.ptc.com/cn/support/article/CS358901

    Updated December 14, 2021 at 11:58 p.m.

  • Vuforia Chalk

    不易受到 Log4j CVE2021-44228 漏洞的影响。

    Updated December 14, 2021 at 11:45 p.m.

  • Vuforia Engine SDK

    不易受到 Log4j CVE2021-44228 漏洞的影响。

    Updated December 14, 2021 at 11:45 p.m.

  • Vuforia Engine Server

    不易受到 Log4j CVE2021-44228 漏洞的影响。

    Updated December 16, 2021 at 12:56 p.m.

  • Vuforia Expert Capture

    不易受到 Log4j CVE2021-44228 漏洞的影响。

    Updated December 14, 2021 at 11:45 p.m.

  • Vuforia Instruct

    不易受到 Log4j CVE2021-44228 漏洞的影响。

    Updated December 14, 2021 at 11:45 p.m.

  • Vuforia Studio

    不易受到 Log4j CVE2021-44228 漏洞的影响。 This update Includes Vuforia Experience Service and Vuforia View.

    Updated December 17, 2021 at 12:08 p.m.

  • Webship and MOVE

    不易受到 Log4j CVE-2021-44228 漏洞的影响,对 Log4j 1.x 的分析正在进行中。

    Updated December 14, 2021 at 11:58 p.m.

  • Windchill Modeler

    不易受到 Log4j CVE2021-44228 漏洞的影响。

    Updated December 14, 2021 at 11:45 p.m.

  • Windchill PLM and FlexPLM

    https://www.ptc.com/cn/support/article/CS358789

    Updated December 14, 2021 at 11:58 p.m.

  • Windchill Risk and Reliability

    不易受到 Log4j CVE2021-44228 漏洞的影响。

    Updated December 14, 2021 at 11:45 p.m.

  • Windchill RV&S

    https://www.ptc.com/cn/support/article/CS358804

    Updated December 14, 2021 at 11:58 p.m.

  • X32Plus

    不易受到 Log4j CVE2021-44228 漏洞的影响。

    Updated December 15, 2021 at 8:08 p.m.

第三方产品/工具推荐的修复措施

对于未在下面列出的产品,我们将在确认到修复措施后提供更新。请参考此警报以获取未来的更新。

如果您需要联系 PTC,请访问:www.ptc.com/support.