Para la corrección de las vulnerabilidades CVE-2021-44228 y CVE 2021-45046 de Apache Log4j 2, PTC recomienda eliminar JNDILookup.class como se describe en la corrección de Apache. A lo largo de las pruebas realizadas por PTC hasta la fecha (del 10 de diciembre al 15 de diciembre de 2021) no se han producido impactos adversos por el uso de este método. PTC no ha utilizado esta capacidad de carga dinámica en nuestros productos y la corrección debería ser efectiva para la vulnerabilidad y de muy bajo riesgo para nuestros productos. Cualquier riesgo debido a este cambio se limita al subsistema de registro de las aplicaciones y cualquier error resultante es mucho menos significativo que la exposición de esta vulnerabilidad. Los clientes pueden corregir de forma preventiva la vulnerabilidad mientras esperan la certificación oficial para reducir su exposición inmediata a este problema crítico.
En la documentación de corrección de PTC que se proporciona a continuación, también articularemos dónde está incrustado Log4j 2 en aplicaciones de terceros y cómo corregirlo. Mientras que puede que el software de PTC no esté usando Log4j 2, es posible que estos componentes de terceros lo haya incrustado, y esos se debe corregir de manera similar. En los casos en los que PTC está aprovechando Log4j 2, vamos a producir lanzamientos de parches con las versiones actualizadas de Log4j 2. Sin embargo, los clientes no deben esperar a que esto suceda y deben tomar medidas de intervención inmediatamente para proteger sus sistemas. Esta recomendación se aplica a todas las instalaciones que puedan tener los clientes, incluidos los sistemas de desarrollo y prueba, así como los de producción y algunas aplicaciones de escritorio, como se indica a continuación.
PTC ha decidido no recomendar la opción de corrección alternativa para utilizar las propiedades del sistema para desactivar la función. Ya que creemos que suele fracasar al pasar las propiedades de forma adecuada a través de las aplicaciones, y peor aún, hay una posible exclusión en el futuro, que puede que no proteja correctamente sus sistemas. A partir del 15 de diciembre de 2021, este método también ha sido declarado como ineficaz en este boletín: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups
En cuanto a la CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) de Apache Log4j 1.x, publicada el 14 de diciembre de 2021, PTC está investigando activamente los pasos de corrección necesarios por cada producto. El método JMSAppender que se describe produce un escenario como la vulnerabilidad en Log4j 2 donde un atacante puede aprovechar un JMS Broker frente a un vector de ataque JNDI/LDAP. Esta vulnerabilidad requiere acceso administrativo al sistema para activar esta función, que está desactivada por defecto. El peligro que entraña esta CVE es de un riesgo Medio dada la intervención que se requiere para habilitarla. Los clientes deben considerar los pasos de corrección proporcionados para esta CVE si han activado su propio uso de esta función. PTC proporcionará más información sobre este proceso de vulnerabilidad a medida que esté disponible.
En el caso de los productos que no figuran en la lista, ofreceremos las medidas recomendadas en cuanto estén disponibles. Vuelva a consultar esta alerta para futuras actualizaciones.
Si necesita ayuda, contacte con PTC: https://www.ptc.com/es/support.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.
Actualizado el 15 de diciembre de 2021 a las 20:08 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.
Actualizado el 15 de diciembre de 2021 a las 20:08 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
https://www.ptc.com/en/support/article/CS358998
Actualizado el 15 de diciembre de 2021 a las 9:45 horas.
No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. Análisis de log4j 1.x en curso.
Actualizado el 15 de diciembre de 2021 a las 11:25 horas.
No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. Consulte CS358831 para los impactos relacionados con Creo License Server: https://www.ptc.com/es/support/article/CS358831
Actualizado el 16 de diciembre de 2021 a las 15:00 horas.
https://www.ptc.com/en/support/article/CS358990
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. Análisis de Log4j 1.x en curso.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
https://www.ptc.com/en/support/article/CS358831
Actualizado el 15 de diciembre de 2021 a las 16:49 horas.
https://www.ptc.com/en/support/article/CS358965
Actualizado el 15 de diciembre de 2021 a las 8:08 horas.
No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. No se requiere ninguna otra acción.
Actualizado el 15 de diciembre de 2021 a las 8:08 horas.
https://www.ptc.com/en/support/article/CS358831
Actualizado el 15 de diciembre de 2021 a las 16:49 horas.
https://www.ptc.com/en/support/article/CS358831
Actualizado el 15 de diciembre de 2021 a las 8:08 horas.
https://www.ptc.com/en/support/article/CS358831
Actualizado el 15 de diciembre de 2021 a las 8:08 horas.
https://www.ptc.com/en/support/article/CS358831
Actualizado el 15 de diciembre de 2021 a las 16:49 horas.
https://www.ptc.com/en/support/article/CS359116
Actualizado el 15 de diciembre de 2021 a las 20:08 horas.
No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j.
Actualizado el 16 de diciembre de 2021 a las 15:50 horas.
La analítica de garantías (Service Intelligence) utiliza IBM Cognos. Consulte la sección de Cognos más abajo en "Herramientas/Productos de terceros" para obtener más información. Todos los demás módulos no son vulnerables a la vulnerabilidad CVE-2021-44228 de Log4j.
Actualizado el 17 de diciembre de 2021 a las 9:11 horas.
https://www.ptc.com/en/support/article/CS358996
Actualizado el 15 de diciembre de 2021 a las 8:45 horas.
https://www.ptc.com/en/support/article/CS358831
Actualizado el 16 de diciembre de 2021 a las 10:48 horas.
No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. Análisis de Log4j 1.x en curso.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. Análisis de Log4j 1.x en curso.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.
Actualizado el 15 de diciembre de 2021 a las 20:08 horas.
Resuelto, el viernes 10 de diciembre de 2021 a las 9:30 a.m. EST.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
No es vulnerable a la vulnerabilidad CVE-2021-44228 de Log4j. Análisis de Log4j 1.x en curso.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 1.x o 2.x. de Log4j.
Actualizado el 16 de diciembre de 2021 a las 9:20 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j. Análisis de Log4j 1.x en curso.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
https://www.ptc.com/en/support/article/CS358886
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.
Actualizado el 15 de diciembre de 2021 a las 20:08 horas.
https://www.ptc.com/en/support/article/CS358901
Actualizado el 15 de diciembre de 2021 a las 9:45 horas.
https://www.ptc.com/en/support/article/CS358901
Actualizado el 14 de diciembre de 2021 a las 23:58 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
Resuelto, el viernes 14 de diciembre de 2021 a las 9:28 a.m. PST.
Actualizado el 16 de diciembre de 2021 a las 12:56 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j. Análisis de Log4j 1.x en curso.
Actualizado el 14 de diciembre de 2021 a las 23:58 horas.
https://www.ptc.com/en/support/article/CS359107
Actualizado el 14 de diciembre de 2021 a las 17:00 horas.
https://www.ptc.com/en/support/article/CS358789
Actualizado el 14 de diciembre de 2021 a las 23:58 horas.
No es vulnerable a las vulnerabilidades CVE-2021-44228 y CVE 2021-45046 de Log4j 2.x. No es vulnerable a la vulnerabilidad CVE-2021-4041 de Log4j 1.x.
Actualizado el 16 de diciembre de 2021 a las 14:59 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.
Actualizado el 14 de diciembre de 2021 a las 23:45 horas.
https://www.ptc.com/en/support/article/CS358804
Actualizado el 14 de diciembre de 2021 a las 23:58 horas.
No es vulnerable a la vulnerabilidad CVE2021-44228 de Log4j.
Actualizado el 15 de diciembre de 2021 a las 20:08 horas.
Actualizado al 16 de diciembre de 2021. Vuelva a consultar esta alerta para futuras actualizaciones.
En respuesta a las vulnerabilidades de seguridad de Log4j, PTC Cloud se compromete plenamente a aplicar todas las acciones recomendadas formalmente para protegerse contra las CVE-2021-44228 y CVE 2021-45046 de Apache Log4j 2 en todos los vectores tecnológicos soportados como parte de nuestro servicio de nube. Como parte de ese compromiso, estamos completamente alineados con las distintas organizaciones de I+D de PTC. Estamos ejecutando de manera proactiva y rápida las acciones requeridas que mejor protegen a nuestros clientes contra las amenazas a la seguridad, según corresponda.
Tenga en cuenta que a medida que vayamos reaccionando a la situación de Log4j, PTC Cloud actuará con urgencia para cumplir este objetivo. Haremos todo lo posible por comunicar con antelación cualquier acción que requiera un periodo de inactividad por mantenimiento. Sin embargo, en algunos casos, como nuestra máxima prioridad es proporcionar protección y seguridad, es posible que no podamos planificar la comunicación con antelación.
En este foro de comunicación central proporcionaremos actualizaciones continuas según sea necesario. Le recomendamos que supervise continuamente las actualizaciones a través de este medio de comunicación.
Si tiene alguna otra pregunta o duda, envíe sus consultas a cloudservicemanagement@ptc.com y le responderemos lo antes posible.
En el caso de los productos que no figuran en la lista, ofreceremos las medidas recomendadas en cuanto estén disponibles. Vuelva a consultar esta alerta para futuras actualizaciones.
Si necesita ayuda, contacte con PTC: https://www.ptc.com/es/support.
https://www.ptc.com/en/support/article/CS359116
Actualizado el 15 de diciembre de 2021 a las 20:08 horas.
Consulte la página de actualización publicada por IBM para conocer los impactos de los que se ha informado y los pasos de corrección recomendados: Una actualización sobre la vulnerabilidad CVE-2021-44228 de Apache Log4j
Para resolver cualquier problema inmediato, Cognos puede estar desactivado hasta que se confirmen más detalles. La generación de informes se desactivará hasta que se resuelva. Todas las demás funciones del producto seguirán siendo normales.
Actualizado el 15 de diciembre de 2021 a las 20:08 horas.
https://www.dynatrace.com/news/blog/how-dynatrace-uses-dynatrace-to-combat-the-log4j-vulnerability
Updated: January 13, 2022
https://www.ptc.com/en/support/article/CS358902
Actualizado el 14 de diciembre de 2021 a las 23:58 horas.
Consulte el aviso publicado por Apache Solr para conocer los impactos relacionados con Solr y los pasos de corrección recomendados: Apache Solr afectado por la CVE-2021-44228 de Apache Log4J
Para resolver cualquier problema inmediato, Solr puede estar apagado hasta que se confirmen más detalles. La búsqueda de índices se desactivará hasta que se resuelva. Todas las demás funciones del producto seguirán siendo normales.
Actualizado el 15 de diciembre de 2021 a las 20:08 horas.
Consulte el artículo publicado por TIBCO para conocer los de los que TIBCO ha informado y los pasos de corrección recomendados: Actualización diaria de la vulnerabilidad de Log4j en TIBCO
Actualizado el 15 de diciembre de 2021 a las 20:08 horas.
Idioma seleccionado no disponible
Esta experiencia no está disponible en el idioma que ha seleccionado.
Para ver esta experiencia, continúe en su idioma actual.
No disponible en inglés.