Centro de respuestas a las vulnerabilidades de seguridad de Log4j

Consulte aquí la información más reciente sobre la vulnerabilidad de seguridad de Log4j del producto PTC (CVE-2021-44228 de Apache Log4j).

Última actualización: 17 de diciembre de 2021 9:12 horas.

Estrategia de corrección de PTC

Para la corrección de las vulnerabilidades CVE-2021-44228 y CVE 2021-45046 de Apache Log4j 2, PTC recomienda eliminar JNDILookup.class como se describe en la corrección de Apache. A lo largo de las pruebas realizadas por PTC hasta la fecha (del 10 de diciembre al 15 de diciembre de 2021) no se han producido impactos adversos por el uso de este método. PTC no ha utilizado esta capacidad de carga dinámica en nuestros productos y la corrección debería ser efectiva para la vulnerabilidad y de muy bajo riesgo para nuestros productos. Cualquier riesgo debido a este cambio se limita al subsistema de registro de las aplicaciones y cualquier error resultante es mucho menos significativo que la exposición de esta vulnerabilidad. Los clientes pueden corregir de forma preventiva la vulnerabilidad mientras esperan la certificación oficial para reducir su exposición inmediata a este problema crítico.

En la documentación de corrección de PTC que se proporciona a continuación, también articularemos dónde está incrustado Log4j 2 en aplicaciones de terceros y cómo corregirlo. Mientras que puede que el software de PTC no esté usando Log4j 2, es posible que estos componentes de terceros lo haya incrustado, y esos se debe corregir de manera similar. En los casos en los que PTC está aprovechando Log4j 2, vamos a producir lanzamientos de parches con las versiones actualizadas de Log4j 2. Sin embargo, los clientes no deben esperar a que esto suceda y deben tomar medidas de intervención inmediatamente para proteger sus sistemas. Esta recomendación se aplica a todas las instalaciones que puedan tener los clientes, incluidos los sistemas de desarrollo y prueba, así como los de producción y algunas aplicaciones de escritorio, como se indica a continuación.

PTC ha decidido no recomendar la opción de corrección alternativa para utilizar las propiedades del sistema para desactivar la función. Ya que creemos que suele fracasar al pasar las propiedades de forma adecuada a través de las aplicaciones, y peor aún, hay una posible exclusión en el futuro, que puede que no proteja correctamente sus sistemas. A partir del 15 de diciembre de 2021, este método también ha sido declarado como ineficaz en este boletín: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups

En cuanto a la CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) de Apache Log4j 1.x, publicada el 14 de diciembre de 2021, PTC está investigando activamente los pasos de corrección necesarios por cada producto. El método JMSAppender que se describe produce un escenario como la vulnerabilidad en Log4j 2 donde un atacante puede aprovechar un JMS Broker frente a un vector de ataque JNDI/LDAP. Esta vulnerabilidad requiere acceso administrativo al sistema para activar esta función, que está desactivada por defecto. El peligro que entraña esta CVE es de un riesgo Medio dada la intervención que se requiere para habilitarla. Los clientes deben considerar los pasos de corrección proporcionados para esta CVE si han activado su propio uso de esta función. PTC proporcionará más información sobre este proceso de vulnerabilidad a medida que esté disponible.

 

Corrección recomendada por producto principal

En el caso de los productos que no figuran en la lista, ofreceremos las medidas recomendadas en cuanto estén disponibles. Vuelva a consultar esta alerta para futuras actualizaciones.

Si necesita ayuda, contacte con PTC: https://www.ptc.com/es/support.

  • AdaWorld

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.

    Actualizado el 15 de diciembre de 2021 a las 20:08 horas.

  • ApexAda

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.

    Actualizado el 15 de diciembre de 2021 a las 20:08 horas.

  • Arena

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • Atlas

    Resuelto, el viernes 10 de diciembre de 2021 a las 5:30 a.m. EST.
  • Arbortext

    https://www.ptc.com/en/support/article/CS358998

    Actualizado el 15 de diciembre de 2021 a las 9:45 horas.

  • Arbortext Content Delivery

    No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. Análisis de log4j 1.x en curso.

    Actualizado el 15 de diciembre de 2021 a las 11:25 horas.

  • Arbortext IsoDraw

    No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. Consulte CS358831 para los impactos relacionados con Creo License Server: https://www.ptc.com/es/support/article/CS358831

    Actualizado el 16 de diciembre de 2021 a las 15:00 horas.

  • Axeda

    https://www.ptc.com/en/support/article/CS358990

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • CADDS5

    No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. Análisis de Log4j 1.x en curso.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • Creo Direct

    https://www.ptc.com/en/support/article/CS358831

    Actualizado el 15 de diciembre de 2021 a las 16:49 horas.

  • Creo Elements Direct

    https://www.ptc.com/en/support/article/CS358965

    Actualizado el 15 de diciembre de 2021 a las 8:08 horas.

  • Creo Generative Design

    No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. No se requiere ninguna otra acción.

    Actualizado el 15 de diciembre de 2021 a las 8:08 horas.

  • Creo Illustrate

    No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. Consulte CS358831 para los impactos relacionados con Creo License Server: https://www.ptc.com/es/support/article/CS358831

    Actualizado el 16 de diciembre de 2021 a las 15:00 horas.
  • Creo Layout

    https://www.ptc.com/en/support/article/CS358831

    Actualizado el 15 de diciembre de 2021 a las 16:49 horas.

  • Creo Parametric

    https://www.ptc.com/en/support/article/CS358831

    Actualizado el 15 de diciembre de 2021 a las 8:08 horas.

  • Creo Schematics

    https://www.ptc.com/en/support/article/CS358831

    Actualizado el 15 de diciembre de 2021 a las 8:08 horas.

  • Creo Simulate

    https://www.ptc.com/en/support/article/CS358831

    Actualizado el 15 de diciembre de 2021 a las 16:49 horas.

  • Creo View

    No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. Consulte CS358831 para los impactos relacionados con Creo License Server: https://www.ptc.com/es/support/article/CS358831

    Actualizado el 16 de diciembre de 2021 a las 15:00 horas.
  • Creo View Adapters

    https://www.ptc.com/en/support/article/CS359116

    Actualizado el 15 de diciembre de 2021 a las 20:08 horas.

  • Empower

    No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j.

    Actualizado el 16 de diciembre de 2021 a las 15:50 horas.

  • iWarranty

    La analítica de garantías (Service Intelligence) utiliza IBM Cognos. Consulte la sección de Cognos más abajo en "Herramientas/Productos de terceros" para obtener más información. Todos los demás módulos no son vulnerables a la vulnerabilidad CVE-2021-44228 de Log4j.

    Actualizado el 17 de diciembre de 2021 a las 9:11 horas.

  • Kepware

    https://www.ptc.com/en/support/article/CS358996

    Actualizado el 15 de diciembre de 2021 a las 8:45 horas.

  • Mathcad

    https://www.ptc.com/en/support/article/CS358831

    Actualizado el 16 de diciembre de 2021 a las 10:48 horas.

  • MKS Implementer

    No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. Análisis de Log4j 1.x en curso.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • MKS Toolkit

    No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. Análisis de Log4j 1.x en curso.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • ¿Qué son los objetivos tipo modelo?

    Los Objetivos tipo modelo reconocen objetos físicos por sus datos CAD y resultan perfectos para el seguimiento de grandes máquinas y automóviles. Los desarrolladores también pueden usar el Aprendizaje profundo para hacer que los modelos se reconozcan de forma instantánea y automática desde cualquier ángulo.
  • ObjectAda

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.

    Actualizado el 15 de diciembre de 2021 a las 20:08 horas.

  • Onshape

    Resuelto, el viernes 10 de diciembre de 2021 a las 9:30 a.m. EST.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • Optegra

    No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. Análisis de Log4j 1.x en curso.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • Perc

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • PTC Modeler

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • PTC X/Server

    No es vulnerable a la vulnerabilidad CVE2021-44228 1.x o 2.x. de Log4j.

    Actualizado el 16 de diciembre de 2021 a las 9:20 horas.

  • Service Knowledge Diagnostics (SKD)

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j. Análisis de Log4j 1.x en curso.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • Servigistics

    https://www.ptc.com/en/support/article/CS358886

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • TeleUSE

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.

    Actualizado el 15 de diciembre de 2021 a las 20:08 horas.

  • ThingWorx Analytics

    https://www.ptc.com/en/support/article/CS358901

    Actualizado el 15 de diciembre de 2021 a las 9:45 horas.

  • ThingWorx Platform

    https://www.ptc.com/en/support/article/CS358901

    Actualizado el 14 de diciembre de 2021 a las 23:58 horas.

  • Vuforia Chalk

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • Vuforia Engine SDK

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • Vuforia Engine Server

    Resuelto, el viernes 14 de diciembre de 2021 a las 9:28 a.m. PST.

    Actualizado el 16 de diciembre de 2021 a las 12:56 horas.

  • Vuforia Expert Capture

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • Vuforia Instruct

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • Vuforia Studio

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • Webship y MOVE

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j. Análisis de Log4j 1.x en curso.

    Actualizado el 14 de diciembre de 2021 a las 23:58 horas.

  • Tengo más preguntas.

    Para consultar las preguntas frecuentes sobre Vuforia Engine, pulse aquí. Si desea hablar con un experto en RA sobre su pregunta, póngase en contacto a través de este formulario.
  • Windchill Navigate

    https://www.ptc.com/en/support/article/CS359107

    Actualizado el 14 de diciembre de 2021 a las 17:00 horas.

  • Windchill PLM y FlexPLM

    https://www.ptc.com/en/support/article/CS358789

    Actualizado el 14 de diciembre de 2021 a las 23:58 horas.

  • Tengo más preguntas.

    Para consultar las preguntas frecuentes sobre Vuforia Engine, pulse aquí. Si desea hablar con un experto en RA sobre su pregunta, póngase en contacto a través de este formulario.
  • Windchill Product Analytics

    No es vulnerable a las vulnerabilidades CVE-2021-44228 y CVE 2021-45046 de Log4j 2.x. No es vulnerable a la vulnerabilidad CVE-2021-4041 de Log4j 1.x.

    Actualizado el 16 de diciembre de 2021 a las 14:59 horas.

  • Tengo más preguntas.

    Para consultar las preguntas frecuentes sobre Vuforia Engine, pulse aquí. Si desea hablar con un experto en RA sobre su pregunta, póngase en contacto a través de este formulario.
  • Windchill Risk and Reliability

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.

    Actualizado el 14 de diciembre de 2021 a las 23:45 horas.

  • Windchill RV&S

    https://www.ptc.com/en/support/article/CS358804

    Actualizado el 14 de diciembre de 2021 a las 23:58 horas.

  • X32Plus

    No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.

    Actualizado el 15 de diciembre de 2021 a las 20:08 horas.

PTC Cloud

Actualizado al 16 de diciembre de 2021. Vuelva a consultar esta alerta para futuras actualizaciones.

En respuesta a las vulnerabilidades de seguridad de Log4j, PTC Cloud se compromete plenamente a aplicar todas las acciones recomendadas formalmente para protegerse contra las CVE-2021-44228 y CVE 2021-45046 de Apache Log4j 2 en todos los vectores tecnológicos soportados como parte de nuestro servicio de nube. Como parte de ese compromiso, estamos completamente alineados con las distintas organizaciones de I+D de PTC. Estamos ejecutando de manera proactiva y rápida las acciones requeridas que mejor protegen a nuestros clientes contra las amenazas a la seguridad, según corresponda.  

Tenga en cuenta que a medida que vayamos reaccionando a la situación de Log4j, PTC Cloud actuará con urgencia para cumplir este objetivo. Haremos todo lo posible por comunicar con antelación cualquier acción que requiera un periodo de inactividad por mantenimiento. Sin embargo, en algunos casos, como nuestra máxima prioridad es proporcionar protección y seguridad, es posible que no podamos planificar la comunicación con antelación. 

En este foro de comunicación central proporcionaremos actualizaciones continuas según sea necesario. Le recomendamos que supervise continuamente las actualizaciones a través de este medio de comunicación.

Si tiene alguna otra pregunta o duda, envíe sus consultas a cloudservicemanagement@ptc.com y le responderemos lo antes posible.  

 
  • Productos principales de PTC

      Servigistics
    • PTC Cloud ha completado la aplicación de todos los parches de mantenimiento Log4j 2.15 recomendados para todos los clientes que usan el software PTC Servigistics. Basándonos en recomendaciones recientes y adicionales, tenemos previsto aplicar el parche de mantenimiento de seguridad de Log4j 2.16. Esta actividad comenzará al final del día 16 de diciembre. Como ya hicimos anteriormente, PTC Cloud anunciará con antelación el tiempo de mantenimiento previsto, que se espera que sea de 60 a 90 minutos por cliente. Está previsto que esta actividad finalice el 18 de diciembre.

      ThingWorx
    • PTC Cloud se ha alineado con los equipos de I+D y de seguridad de PTC en las acciones recomendadas. Actualmente se prevé que el mantenimiento preventivo de las vulnerabilidades de Log4j relacionadas con ThingWorx Platform comience el 16 de diciembre. A medida que surjan los planes detallados, comunicaremos el plan de acción en consecuencia.

      Windchill PLM y FlexPLM
    • Según las versiones del software de PTC que se usan en las plataformas de PTC Cloud, no existe ninguna vulnerabilidad para Log4j. Consulte la información relativa a las aplicaciones de terceros (Ping Federate, Cognos y Solr, más abajo).

  • Productos/herramientas de terceros de PTC Cloud

      Ping Federate
    • Por precaución, PTC Cloud está en proceso de aplicar una acción de corrección que proporcionará protección contra las vulnerabilidades de Log4j. Se espera que esta actividad se ejecute con un periodo de inactividad limitado y está en proceso de implementación, comenzó el 14 de diciembre. Esta actividad continuará de forma rápidamente y se espera que esté terminada para el 16 de diciembre.

      Cognos
    • Por precaución, PTC Cloud ha decidido detener el acceso a Cognos hasta nuevo aviso. PTC Cloud ha decidido interrumpir el acceso a esta aplicación de forma inmediata y consciente, sin previo aviso a nuestros clientes. Nos disculpamos sinceramente por no haber podido notificarle de forma proactiva; sin embargo, hemos tomado esta medida de forma rápida para proporcionarle el mayor nivel de protección y seguridad. PTC supervisará continuamente el estado y los eventos relacionados con las vulnerabilidades de Log4j y le notificará cuando tengamos más indicaciones de nuestro equipo de I+D y de seguridad sobre cómo proceder.

      Solr
    • Por precaución, PTC Cloud está ejecutando activamente una acción de corrección que proporcionará protección contra las vulnerabilidades de Log4j. Esperamos que el periodo de inactividad del servicio de índice Solr sea limitado, y este servicio debería restablecerse por completo para todos los clientes al cierre de las actividades del 16 de diciembre. Nos disculpamos sinceramente por no haber podido avisarle de forma proactiva; sin embargo, hemos tomado esta medida de forma rápida para ofrecerle el máximo nivel de protección y seguridad. Tenga en cuenta que, aunque los clientes no puedan utilizar Solr durante un breve periodo de tiempo, la búsqueda de metadatos seguirá estando disponible, y PTC recomienda utilizar esta capacidad de búsqueda de metadatos (por ejemplo, Nombre, Número o cualquier otro atributo).

Corrección recomendada por productos/herramientas de terceros

En el caso de los productos que no figuran en la lista, ofreceremos las medidas recomendadas en cuanto estén disponibles. Vuelva a consultar esta alerta para futuras actualizaciones.

Si necesita ayuda, contacte con PTC: https://www.ptc.com/es/support.