Als Abhilfe für die Sicherheitslücken CVE-2021-44228 und CVE-2021-45046 für Apache Log4j 2 empfiehlt PTC, JNDILookup.class zu entfernen, wie in den Korrekturmaßnahmen von Apache beschrieben. Diese Vorgehensweise hat bei den bisherigen Tests (10. bis 15. Dezember 2021) von PTC keine unerwünschten Wirkungen gezeigt. PTC hat die dynamische Ladefunktion in seinen Produkten nicht verwendet. Die Korrekturmaßnahme sollte die Sicherheitslücke effektiv beseitigen und für die Produkte von PTC kaum Risiken bergen. Ein Risiko dieser Änderung betrifft das Protokollierungs-Teilsystem von Applikationen. Etwa daraus resultierende Fehler sind jedoch erheblich weniger gravierend als die Sicherheitslücke selbst. Kunden können die Korrekturmaßnahme zur Behebung der Sicherheitslücke durchführen, noch ehe die offizielle Zertifizierung vorliegt, um die Gefährdung durch dieses kritische Problem unmittelbar zu reduzieren.
In der folgenden Korrekturdokumentation gehen wir auch darauf ein, wo Log4j 2 in Drittanbieter-Anwendungen eingebettet ist und wie diese Fälle zu beheben sind. Auch wenn PTC Software Log4j 2 nicht verwendet, ist es durchaus möglich, dass die Bibliothek in diese Drittanbieter-Komponenten eingebettet ist. Diese sollten daher ebenfalls korrigiert werden. In Fällen, in denen PTC Log4j 2 nutzt, werden wir Patch-Versionen mit den aktualisierten Log4j 2-Versionen herstellen. Kunden sollten allerdings nicht auf diese warten, sondern sofort tätig werden, um ihre Systeme zu schützen. Die Empfehlung gilt für alle Installationen unserer Kunden, inklusive Entwicklungs- und Testsystemen sowie Produktions- und einigen Desktop-Applikationen, wie unten angegeben.
PTC hat sich dagegen entschieden, eine alternative Korrekturoption zur Deaktivierung der Funktion mithilfe von Systemeigenschaften zu empfehlen. Unserer Meinung nach besteht dabei die Gefahr, dass die Eigenschaften durch die Anwendungen nicht ordnungsgemäß weitergegeben werden. Schlimmer noch könnte es in Zukunft zu einem Ausschluss kommen, sodass Ihre Systeme nicht angemessen geschützt wären.
Bezüglich der Sicherheitslücke CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) für Apache Log4j 1.x, veröffentlicht am 14. Dezember 2021, untersucht PTC für jedes Produkt aktiv alle notwendigen Korrekturschritte. Die beschriebene JMSAppender-Methode führt zu einem Szenario wie die Sicherheitslücke in Log4j 2, in dem ein Angreifer einen JMS-Broker anstelle eines JNDI/LDAP-Angriffsvektors nutzen kann. Diese Schwachstelle erfordert Administratorzugriff auf das System, um diese Funktion zu aktivieren, die standardmäßig deaktiviert ist. Aufgrund des notwendigen Eingriffs zum Aktivieren wird diese Sicherheitslücke als mittleres Risiko eingestuft. Kunden sollten die Korrekturmaßnahmen für diese Sicherheitslücke berücksichtigen, wenn sie die Funktion für sich selbst aktiviert haben. PTC wird weitere Informationen zu dieser Schwachstelle bereitstellen, sobald diese verfügbar sind.
Für Produkte, die nicht unten aufgeführt sind, werden wir empfohlene Vorgehensweisen bereitstellen, sobald diese zur Verfügung stehen. Auf dieser Seite veröffentlichen wir künftig aktuelle Informationen.
Wenn Sie PTC kontaktieren möchten, besuchen Sie folgende Seite: www.ptc.com/support.
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
https://www.ptc.com/en/support/article/CS358998
Aktualisiert: 15. Dezember 2021 um 9:45 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von log4j 1.x läuft.
Aktualisiert: 15. Dezember 2021 um 11:25 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Informationen zu den Auswirkungen auf den Creo License Server finden Sie in CS358831: https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 16. Dezember 2021 um 15:00 Uhr
https://www.ptc.com/en/support/article/CS358990
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 15. Dezember 2021 um 16:49 Uhr
https://www.ptc.com/en/support/article/CS358965
Aktualisiert: 15. Dezember 2021 um 8:08 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Keine weitere Aktion erforderlich.
Aktualisiert: 15. Dezember 2021 um 8:08 Uhr
https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 15. Dezember 2021 um 16:49 Uhr
https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 15. Dezember 2021 um 8:08 Uhr
https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 15. Dezember 2021 um 8:08 Uhr
https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 15. Dezember 2021 um 16:49 Uhr
https://www.ptc.com/en/support/article/CS359116
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 16. Dezember 2021 um 15:50 Uhr
Warranty Analytics (Service Intelligence) nutzt IBM Cognos. Bitte beachten Sie die Informationen im Abschnitt „Cognos“ unter „Drittanbieter-Produkte/-Tools“. Alle anderen Module sind nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 17. Dezember 2021 um 9:11 Uhr
https://www.ptc.com/en/support/article/CS358996
Aktualisiert: 15. Dezember 2021 um 8:45 Uhr
https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 16. Dezember 2021 um 10:48 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
Gelöst, Freitag, 10. Dezember 2021, 9:30 Uhr (EST).
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Nicht anfällig für die Log4j 1.x oder 2.x-Schwachstelle CVE-2021-44228.
Aktualisiert: 16. Dezember 2021 um 9:20 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
https://www.ptc.com/en/support/article/CS358886
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
https://www.ptc.com/en/support/article/CS358901
Aktualisiert: 15. Dezember 2021 um 9:45 Uhr
https://www.ptc.com/en/support/article/CS358901
Aktualisiert: 14. Dezember 2021 um 23:58 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Gelöst, Freitag, 14. Dezember 2021, 9:28 Uhr (PST).
Aktualisiert: 16. Dezember 2021 um 12:56 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.
Aktualisiert: 14. Dezember 2021 um 23:58 Uhr
https://www.ptc.com/en/support/article/CS359107
Aktualisiert: 14. Dezember 2021 um 17:00 Uhr
https://www.ptc.com/en/support/article/CS358789
Aktualisiert: 14. Dezember 2021 um 23:58 Uhr
Nicht anfällig für die Log4j 2.x-Schwachstellen CVE-2021-44228 und CVE-2021-45046. Nicht anfällig für die Log4j 1.x-Schwachstelle CVE-2021-4041.
Aktualisiert: 16. Dezember 2021 um 14:59 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
https://www.ptc.com/en/support/article/CS358804
Aktualisiert: 14. Dezember 2021 um 23:58 Uhr
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
Aktualisiert: 16. Dezember 2021. Auf dieser Seite veröffentlichen wir künftig aktuelle Informationen.
In Reaktion auf die Log4j-Sicherheitslücke werden für die PTC Cloud alle offiziell empfohlenen Maßnahmen zum Schutz gegen Apache Log4j 2 CVE-2021-44228 und CVE 2021-45046 in allen Technologievektoren ergriffen, die als Teil unseres Cloud-Dienstes unterstützt werden. Im Rahmen dieser Verpflichtung stimmen wir uns umfassend mit den verschiedenen F&E-Organisationen von PTC ab. Wir führen proaktiv und zeitnah alle erforderlichen Maßnahmen durch, um unsere Kunden bestmöglich gegen Sicherheitsbedrohungen zu schützen.
Bitte beachten Sie, dass wir im Zuge der Reaktion auf die Log4j-Situation mit hoher Dringlichkeit agieren müssen. Wir bemühen uns nach Möglichkeit, Maßnahmen, die Ausfallzeiten für Wartungstätigkeiten erfordern, im Voraus anzukündigen. In manchen Fällen kann es jedoch sein, dass keine Vorankündigung möglich ist, da unser oberstes Ziel der Schutz und die Sicherheit unserer Kunden ist.
Wir werden an dieser Stelle laufend über die neuesten Entwicklungen informieren. Wir empfehlen Ihnen daher, diese Seite regelmäßig auf aktuelle Informationen hin zu überprüfen.
Wenn Sie Fragen oder Bedenken haben, schreiben Sie uns an cloudservicemanagement@ptc.com. Wir bemühen uns, Ihnen zeitnah zu antworten.
Für Produkte, die nicht unten aufgeführt sind, werden wir empfohlene Vorgehensweisen bereitstellen, sobald diese zur Verfügung stehen. Auf dieser Seite veröffentlichen wir künftig aktuelle Informationen.
Wenn Sie PTC kontaktieren möchten, besuchen Sie folgende Seite: www.ptc.com/support.
https://www.ptc.com/en/support/article/CS359116
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
Beachten Sie die Seite mit aktuellen Informationen von IBM, um Informationen zu gemeldeten Auswirkungen und empfohlenen Korrekturmaßnahmen zu erhalten: An update on the Apache Log4j CVE-2021-44228 vulnerability
Bei einer akuten Gefährdung wird Cognos unter Umständen ausgeschaltet, bis weitere bestätigte Details vorliegen. Die Berichterzeugung wird deaktiviert, bis das Problem gelöst ist. Alle anderen Produktfunktionen bleiben normal im Betrieb.
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
https://www.dynatrace.com/news/blog/how-dynatrace-uses-dynatrace-to-combat-the-log4j-vulnerability/
Aktualisiert: 20. Januar 2021 um 8:53 Uhr
https://www.ptc.com/en/support/article/CS358902
Aktualisiert: 14. Dezember 2021 um 23:58 Uhr
Beachten Sie die Seite mit aktuellen Informationen von Apache Solr, um Informationen zu gemeldeten Auswirkungen und empfohlenen Korrekturmaßnahmen im Zusammenhang mit Solr zu erhalten: Apache Solr affected by Apache Log4J CVE-2021-44228
Bei einer akuten Gefährdung wird Solr unter Umständen ausgeschaltet, bis weitere bestätigte Details vorliegen. Die Indexsuche wird deaktiviert, bis das Problem gelöst ist. Alle anderen Produktfunktionen bleiben normal im Betrieb.
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
Beachten Sie den Artikel mit aktuellen Informationen von TIBCO, um Informationen zu gemeldeten Auswirkungen und empfohlenen Korrekturmaßnahmen zu erhalten: TIBCO Log4j Vulnerability Daily Update
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
Ausgewählte Sprache nicht verfügbar
Diese Umgebung ist leider nicht in der ausgewählten Sprache verfügbar.
Setzen Sie den Vorgang in Ihrer aktuellen Sprache fort, um diese Umgebung anzuzeigen.
Element nicht auf Englisch verfügbar.