• Log4j

Krisenzentrum zur Log4j-Sicherheitslücke

Hier finden Sie aktuelle Informationen zur Log4j-Sicherheitslücke nach PTC Produkten (Apache Log4j CVE-2021-44228).

Zuletzt aktualisiert: 17. Dezember 2021 9:12 Uhr

Korrekturstrategie von PTC

Als Abhilfe für die Sicherheitslücken CVE-2021-44228 und CVE-2021-45046 für Apache Log4j 2 empfiehlt PTC, JNDILookup.class zu entfernen, wie in den Korrekturmaßnahmen von Apache beschrieben. Diese Vorgehensweise hat bei den bisherigen Tests (10. bis 15. Dezember 2021) von PTC keine unerwünschten Wirkungen gezeigt. PTC hat die dynamische Ladefunktion in seinen Produkten nicht verwendet. Die Korrekturmaßnahme sollte die Sicherheitslücke effektiv beseitigen und für die Produkte von PTC kaum Risiken bergen. Ein Risiko dieser Änderung betrifft das Protokollierungs-Teilsystem von Applikationen. Etwa daraus resultierende Fehler sind jedoch erheblich weniger gravierend als die Sicherheitslücke selbst. Kunden können die Korrekturmaßnahme zur Behebung der Sicherheitslücke durchführen, noch ehe die offizielle Zertifizierung vorliegt, um die Gefährdung durch dieses kritische Problem unmittelbar zu reduzieren.

In der folgenden Korrekturdokumentation gehen wir auch darauf ein, wo Log4j 2 in Drittanbieter-Anwendungen eingebettet ist und wie diese Fälle zu beheben sind. Auch wenn PTC Software Log4j 2 nicht verwendet, ist es durchaus möglich, dass die Bibliothek in diese Drittanbieter-Komponenten eingebettet ist. Diese sollten daher ebenfalls korrigiert werden. In Fällen, in denen PTC Log4j 2 nutzt, werden wir Patch-Versionen mit den aktualisierten Log4j 2-Versionen herstellen. Kunden sollten allerdings nicht auf diese warten, sondern sofort tätig werden, um ihre Systeme zu schützen. Die Empfehlung gilt für alle Installationen unserer Kunden, inklusive Entwicklungs- und Testsystemen sowie Produktions- und einigen Desktop-Applikationen, wie unten angegeben.

PTC hat sich dagegen entschieden, eine alternative Korrekturoption zur Deaktivierung der Funktion mithilfe von Systemeigenschaften zu empfehlen. Unserer Meinung nach besteht dabei die Gefahr, dass die Eigenschaften durch die Anwendungen nicht ordnungsgemäß weitergegeben werden. Schlimmer noch könnte es in Zukunft zu einem Ausschluss kommen, sodass Ihre Systeme nicht angemessen geschützt wären. Zum 15. Dezember 2021 wurde diese Methode im folgenden Bulletin für ineffektiv erklärt: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups

Bezüglich der Sicherheitslücke CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) für Apache Log4j 1.x, veröffentlicht am 14. Dezember 2021, untersucht PTC für jedes Produkt aktiv alle notwendigen Korrekturschritte. Die beschriebene JMSAppender-Methode führt zu einem Szenario wie die Sicherheitslücke in Log4j 2, in dem ein Angreifer einen JMS-Broker anstelle eines JNDI/LDAP-Angriffsvektors nutzen kann. Diese Schwachstelle erfordert Administratorzugriff auf das System, um diese Funktion zu aktivieren, die standardmäßig deaktiviert ist. Aufgrund des notwendigen Eingriffs zum Aktivieren wird diese Sicherheitslücke als mittleres Risiko eingestuft. Kunden sollten die Korrekturmaßnahmen für diese Sicherheitslücke berücksichtigen, wenn sie die Funktion für sich selbst aktiviert haben. PTC wird weitere Informationen zu dieser Schwachstelle bereitstellen, sobald diese verfügbar sind.

 

Empfohlene Korrektur nach Hauptprodukt

Für Produkte, die nicht unten aufgeführt sind, werden wir empfohlene Vorgehensweisen bereitstellen, sobald diese zur Verfügung stehen. Auf dieser Seite veröffentlichen wir künftig aktuelle Informationen.

Wenn Sie PTC kontaktieren möchten, besuchen Sie folgende Seite: www.ptc.com/support.

  • AdaWorld

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 15. Dezember 2021 um 20:08 Uhr

  • ApexAda

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 15. Dezember 2021 um 20:08 Uhr

  • Arena

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • Atlas

    Gelöst, Freitag, 10. Dezember 2021, 5:30 Uhr (EST).
  • Arbortext

    https://www.ptc.com/en/support/article/CS358998

    Aktualisiert: 15. Dezember 2021 um 9:45 Uhr

  • Arbortext Content Delivery

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von log4j 1.x läuft.

    Aktualisiert: 15. Dezember 2021 um 11:25 Uhr

  • Arbortext IsoDraw

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Informationen zu den Auswirkungen auf den Creo License Server finden Sie in CS358831: https://www.ptc.com/en/support/article/CS358831

    Aktualisiert: 16. Dezember 2021 um 15:00 Uhr

  • Axeda

    https://www.ptc.com/en/support/article/CS358990

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • CADDS5

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • Creo Direct

    https://www.ptc.com/en/support/article/CS358831

    Aktualisiert: 15. Dezember 2021 um 16:49 Uhr

  • Creo Elements/Direct

    https://www.ptc.com/en/support/article/CS358965

    Aktualisiert: 15. Dezember 2021 um 8:08 Uhr

  • Creo Generative Design

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Keine weitere Aktion erforderlich.

    Aktualisiert: 15. Dezember 2021 um 8:08 Uhr

  • Creo Illustrate

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Informationen zu den Auswirkungen auf den Creo License Server finden Sie in CS358831: https://www.ptc.com/en/support/article/CS358831

    Aktualisiert: 16. Dezember 2021 um 15:00 Uhr.
  • Creo Layout

    https://www.ptc.com/en/support/article/CS358831

    Aktualisiert: 15. Dezember 2021 um 16:49 Uhr

  • Creo Parametric

    https://www.ptc.com/en/support/article/CS358831

    Aktualisiert: 15. Dezember 2021 um 8:08 Uhr

  • Creo Schematics

    https://www.ptc.com/en/support/article/CS358831

    Aktualisiert: 15. Dezember 2021 um 8:08 Uhr

  • Creo Simulate

    https://www.ptc.com/en/support/article/CS358831

    Aktualisiert: 15. Dezember 2021 um 16:49 Uhr

  • Creo View

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Informationen zu den Auswirkungen auf den Creo License Server finden Sie in CS358831: https://www.ptc.com/en/support/article/CS358831

    Aktualisiert: 16. Dezember 2021 um 15:00 Uhr.
  • Creo View Adapters

    https://www.ptc.com/en/support/article/CS359116

    Aktualisiert: 15. Dezember 2021 um 20:08 Uhr

  • Empower

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 16. Dezember 2021 um 15:50 Uhr

  • iWarranty

    Warranty Analytics (Service Intelligence) nutzt IBM Cognos. Bitte beachten Sie die Informationen im Abschnitt „Cognos“ unter „Drittanbieter-Produkte/-Tools“. Alle anderen Module sind nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 17. Dezember 2021 um 9:11 Uhr

  • Kepware

    https://www.ptc.com/en/support/article/CS358996

    Aktualisiert: 15. Dezember 2021 um 8:45 Uhr

  • Mathcad

    https://www.ptc.com/en/support/article/CS358831

    Aktualisiert: 16. Dezember 2021 um 10:48 Uhr

  • MKS Implementer

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • MKS Toolkit

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • Was sind Modellziele?

    Modellziele erkennen physische Objekte anhand ihrer CAD-Daten und eignen sich perfekt für die Verfolgung großer Maschinen und Automobile. Entwickler können mit Deep Learning Modelle trainieren, die sofort und automatisch aus jedem Winkel erkannt werden.
  • ObjectAda

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 15. Dezember 2021 um 20:08 Uhr

  • Onshape

    Gelöst, Freitag, 10. Dezember 2021, 9:30 Uhr (EST).

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • Optegra

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • Perc

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • PTC X/Server

    Nicht anfällig für die Log4j 1.x oder 2.x-Schwachstelle CVE-2021-44228.

    Aktualisiert: 16. Dezember 2021 um 9:20 Uhr

  • Service Knowledge Diagnostics (SKD)

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • Servigistics

    https://www.ptc.com/en/support/article/CS358886

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • TeleUSE

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 15. Dezember 2021 um 20:08 Uhr

  • ThingWorx Analytics

    https://www.ptc.com/en/support/article/CS358901

    Aktualisiert: 15. Dezember 2021 um 9:45 Uhr

  • ThingWorx Navigate

    https://www.ptc.com/en/support/article/CS359107

    Aktualisiert: 14. Dezember 2021 um 17:00 Uhr

  • ThingWorx Platform

    https://www.ptc.com/en/support/article/CS358901

    Aktualisiert: 14. Dezember 2021 um 23:58 Uhr

  • Vuforia Chalk

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • Vuforia Engine SDK

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • Vuforia Engine Server

    Gelöst, Freitag, 14. Dezember 2021, 9:28 Uhr (PST).

    Aktualisiert: 16. Dezember 2021 um 12:56 Uhr

  • Vuforia Expert Capture

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • Vuforia Instruct

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • Vuforia Studio

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • Webship und MOVE

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.

    Aktualisiert: 14. Dezember 2021 um 23:58 Uhr

  • Ich habe weitere Fragen.

    Weitere FAQs rund um Vuforia Engine finden Sie hier. Wenn Sie mit einem AR-Experten über Ihre Frage sprechen möchten, wenden Sie sich bitte mit diesem Formular an uns.
  • Windchill Modeler

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • Windchill PLM und FlexPLM

    https://www.ptc.com/en/support/article/CS358789

    Aktualisiert: 14. Dezember 2021 um 23:58 Uhr

  • Ich habe weitere Fragen.

    Weitere FAQs rund um Vuforia Engine finden Sie hier. Wenn Sie mit einem AR-Experten über Ihre Frage sprechen möchten, wenden Sie sich bitte mit diesem Formular an uns.
  • Windchill Product Analytics

    Nicht anfällig für die Log4j 2.x-Schwachstellen CVE-2021-44228 und CVE-2021-45046. Nicht anfällig für die Log4j 1.x-Schwachstelle CVE-2021-4041.

    Aktualisiert: 16. Dezember 2021 um 14:59 Uhr

  • Ich habe weitere Fragen.

    Weitere FAQs rund um Vuforia Engine finden Sie hier. Wenn Sie mit einem AR-Experten über Ihre Frage sprechen möchten, wenden Sie sich bitte mit diesem Formular an uns.
  • Windchill Risk and Reliability

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 14. Dezember 2021 um 23:45 Uhr

  • Windchill RV&S

    https://www.ptc.com/en/support/article/CS358804

    Aktualisiert: 14. Dezember 2021 um 23:58 Uhr

  • X32plus

    Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.

    Aktualisiert: 15. Dezember 2021 um 20:08 Uhr

PTC Cloud

Aktualisiert: 16. Dezember 2021. Auf dieser Seite veröffentlichen wir künftig aktuelle Informationen.

In Reaktion auf die Log4j-Sicherheitslücke werden für die PTC Cloud alle offiziell empfohlenen Maßnahmen zum Schutz gegen Apache Log4j 2 CVE-2021-44228 und CVE 2021-45046 in allen Technologievektoren ergriffen, die als Teil unseres Cloud-Dienstes unterstützt werden. Im Rahmen dieser Verpflichtung stimmen wir uns umfassend mit den verschiedenen F&E-Organisationen von PTC ab. Wir führen proaktiv und zeitnah alle erforderlichen Maßnahmen durch, um unsere Kunden bestmöglich gegen Sicherheitsbedrohungen zu schützen.  

Bitte beachten Sie, dass wir im Zuge der Reaktion auf die Log4j-Situation mit hoher Dringlichkeit agieren müssen. Wir bemühen uns nach Möglichkeit, Maßnahmen, die Ausfallzeiten für Wartungstätigkeiten erfordern, im Voraus anzukündigen. In manchen Fällen kann es jedoch sein, dass keine Vorankündigung möglich ist, da unser oberstes Ziel der Schutz und die Sicherheit unserer Kunden ist. 

Wir werden an dieser Stelle laufend über die neuesten Entwicklungen informieren. Wir empfehlen Ihnen daher, diese Seite regelmäßig auf aktuelle Informationen hin zu überprüfen.

Wenn Sie Fragen oder Bedenken haben, schreiben Sie uns an cloudservicemanagement@ptc.com. Wir bemühen uns, Ihnen zeitnah zu antworten.  

 
  • PTC Hauptprodukte

      Servigistics
    • PTC Cloud hat alle empfohlenen Wartungs-Patches Log4j 2.15 für alle Kunden, die die PTC Servigistics Software ausführen, vollständig installiert. Basierend auf aktuellen und zusätzlichen Empfehlungen planen wir, auch den Sicherheits-Wartungs-Patch Log4j 2.16 zu installieren. Wir beginnen damit am Abend des 16. Dezember. Wie bereits zuvor wird PTC Cloud das geplante Wartungszeitfenster im Voraus bekanntgeben, das pro Kunde etwa 60 bis 90 Minuten beträgt. Diese Aktivität soll bis zum 18. Dezember abgeschlossen sein.

      ThingWorx
    • PTC Cloud hat sich mit den F&E- und Sicherheits-Teams bezüglich der empfohlenen Maßnahmen abgestimmt. Aktuell gehen wir davon aus, dass vorbeugende Wartungsarbeiten für die Log4j-Schwachstellen im Zusammenhang mit der ThingWorx Platform am 16. Dezember beginnen werden. Sobald detaillierte Pläne vorliegen, werden wir den Aktionsplan entsprechend kommunizieren.

      Windchill PLM und FlexPLM
    • Für die Versionen von PTC Software, die auf PTC Cloud Plattformen ausgeführt werden, liegt keine Log4j-Sicherheitslücke vor. Bitte beachten Sie die Informationen zu Drittanbieter-Anwendungen (Ping Federate, Cognos, Solr) weiter unten.

  • Drittanbieter-Produkte/-Tools für PTC Cloud

      Ping Federate
    • Als reine Vorsichtsmaßnahme wendet PTC Cloud gerade Korrekturmaßnahmen zum Schutz gegen Log4j-Schwachstellen an. Diese sollten planmäßig zwischen 14. und 16. Dezember mit minimalen Ausfallzeiten abgeschlossen werden können.

      Cognos
    • Als reine Vorsichtsmaßnahme hat PTC Cloud entschieden, den Zugriff auf Cognos bis auf Weiteres zu unterbinden. Dies gilt mit sofortiger Wirkung. Die Maßnahme wurde bewusst durchgeführt, ohne Kunden im Voraus zu informieren. Bitte entschuldigen Sie die Unannehmlichkeiten, doch wir mussten rasch handeln, um Ihnen ein Höchstmaß an Schutz und Sicherheit zu bieten. PTC wird den Status und alle Vorfälle im Zusammenhang mit Log4j-Schwachstellen kontinuierlich überwachen und Sie benachrichtigen, wenn wir weitere Anweisungen von unserem F&E- und Sicherheits-Team zur weiteren Vorgehensweise erhalten.

      Solr
    • Als reine Vorsichtsmaßnahme wendet PTC Cloud gerade aktiv Korrekturmaßnahmen zum Schutz gegen Log4j-Schwachstellen an. Wir rechnen mit geringen Ausfallzeiten des Solr-Indexdienstes. Der Dienst sollte bis Geschäftsschluss am 16. Dezember für alle Kunden vollständig wiederhergestellt sein. Bitte entschuldigen Sie, dass wir ohne Vorwarnung handeln mussten. Rasches Handeln war notwendig, um Ihnen ein Höchstmaß an Schutz und Sicherheit zu bieten. Bitte beachten Sie: Auch wenn Solr für kurze Zeit nicht nutzbar sein wird, wird die Metadatensuche zur Verfügung stehen. PTC empfiehlt, diese Suchfunktion für Metadaten (z. B. Name, Nummer oder andere Attribute) zu nutzen.

Empfohlene Korrektur nach Drittanbieter-Produkten/-Tools

Für Produkte, die nicht unten aufgeführt sind, werden wir empfohlene Vorgehensweisen bereitstellen, sobald diese zur Verfügung stehen. Auf dieser Seite veröffentlichen wir künftig aktuelle Informationen.

Wenn Sie PTC kontaktieren möchten, besuchen Sie folgende Seite: www.ptc.com/support.