Centre de réponses sur les failles de sécurité Log4j

Prenez connaissance ici des dernières informations sur la faille de sécurité de Log4j par produit PTC (Apache Log4j CVE-2021-44228).

Dernière mise à jour : 17 décembre 2021 à 9 h 12

Stratégie de remédiation de PTC

En ce qui concerne la remédiation d'Apache Log4j 2 CVE-2021-44228 et CVE 2021-45046, PTC recommande de supprimer la chaîne JNDILookup.class comme décrit dans la remédiation d'Apache. Comme le montrent les tests effectués par PTC jusqu'à cette date (à savoir entre le 10 décembre et le 15 décembre 2021), l'utilisation de cette méthode n'a pas eu d'effets négatifs. PTC n'a pas utilisé cette fonctionnalité de chargement dynamique dans ses produits. Cette remédiation devrait être à la fois efficace pour résoudre la vulnérabilité et à très faible risque pour ses produits. Si cette modification présente un risque, ce risque est limité au sous-système de journalisation des applications et les erreurs qui en résultent sont bien moins importantes que ne l'est l'exposition à une faille de sécurité. En attendant une certification officielle qui leur permettra de réduire leur exposition à ce problème critique, les clients peuvent, préventivement, remédier à cette faille de sécurité.

Dans la documentation PTC sur la remédiation, fournie ci-dessous, nous indiquerons clairement où est intégré Log4j 2 dans les applications tierces et comment remédier au problème. Dans le cas où des logiciels PTC n'utiliseraient pas Log4j 2, il est possible que des composants tiers l'aient intégré et qu'il soit donc nécessaire, de la même façon, de remédier à cette situation. Dans le cas où des logiciels PTC utiliseraient Log4j 2, nous fournirons les versions de correctifs nécessaires intégrant les versions mises à jour de Log4j 2. Toutefois, les clients ne doivent pas attendre ces correctifs. Ils doivent prendre immédiatement des mesures pour sécuriser leurs systèmes. Cette recommandation s'applique à toutes les installations de nos clients, y compris leurs systèmes de développement et de test, leurs systèmes de production, sans oublier leurs applications bureautiques, comme indiqué ci-dessous.

PTC a décidé de ne pas recommander l'autre option de remédiation qui consiste à utiliser les propriétés des systèmes pour désactiver la fonction. Selon nous, cette solution risque de mener à l'échec en faisant passer purement et simplement les propriétés dans les applications ou, pire, en les excluant potentiellement à l'avenir, ce qui peut ne pas protéger convenablement vos systèmes. Un bulletin daté du 15 décembre 2021 vient également de signaler l'inefficacité de cette méthode : https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups

Concernant la vulnérabilité CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) d'Apache Log4j 1.x, postée le 14 décembre 2021, PTC s'investit activement afin de proposer pour chaque produit les mesures de remédiation requises. La méthode JMSAppender qui y est décrite produit un scénario similaire à la faille de sécurité du Log4j 2 où un attaquant utilise un JMS Broker contre un vecteur d'attaque JNDI/LDAP. Cette faille nécessite un accès administratif au système pour activer cette fonction, désactivée par défaut. La gravité résultante de ce CVE (Common Vulnerabilities and Exposures, une liste publique de failles de sécurité informatique) correspond à un risque moyen étant donné l'intervention nécessaire pour l'activer. Les clients doivent considérer les étapes de remédiation fournies pour ce CVE s'ils ont activé leur propre utilisation de cette fonction. PTC fournira davantage d'informations sur ce parcours de résolution des failles au fur et à mesure que des informations seront disponibles.

 

Remédiation recommandée par produit de base

Pour les produits non listés ci-dessous, nous vous ferons part des actions recommandées dès qu'elles seront disponibles. Veuillez vous référer à cette alerte pour les mises à jour à venir.

Si vous avez besoin de contacter PTC, veuillez consulter le site : www.ptc.com/support.

  • AdaWorld

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 15 décembre 2021 à 20 h 08

  • ApexAda

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 15 décembre 2021 à 20 h 08

  • Arena

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • Atlas

    Résolu à 5 h 30 Heure de Washington, le vendredi 10 décembre 2021.
  • Arbortext

    https://www.ptc.com/en/support/article/CS358998

    Mis à jour le 15 décembre 2021 à 9 h 45

  • Arbortext Content Delivery

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de log4j 1.x en cours.

    Mis à jour le 15 décembre 2021 à 11 h 25

  • Arbortext IsoDraw

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Référez-vous à l'article CS358831 si le serveur de licences Creo est affecté par cette faille de sécurité : https://www.ptc.com/en/support/article/CS358831

    Mis à jour le 16 décembre 2021 à 15 h

  • Axeda

    https://www.ptc.com/en/support/article/CS358990

    Mis à jour le 14 décembre 2021 à 23 h 45

  • CADDS5

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de log4j 1.x en cours.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • Creo Direct

    https://www.ptc.com/en/support/article/CS358831

    Mis à jour le 15 décembre 2021 à 16 h 49

  • Creo Elements/Direct

    https://www.ptc.com/en/support/article/CS358965

    Mis à jour le 15 décembre 2021 à 8 h 08

  • Creo Generative Design

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Aucune autre action requise.

    Mis à jour le 15 décembre 2021 à 8 h 08

  • Creo Illustrate

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Référez-vous à l'article CS358831 si le serveur de licences Creo est affecté par cette faille de sécurité : https://www.ptc.com/en/support/article/CS358831

    Mis à jour le 16 décembre 2021 à 15 h
  • Creo Layout

    https://www.ptc.com/en/support/article/CS358831

    Mis à jour le 15 décembre 2021 à 16 h 49

  • Creo Parametric

    https://www.ptc.com/en/support/article/CS358831

    Mis à jour le 15 décembre 2021 à 8 h 08

  • Creo Schematics

    https://www.ptc.com/en/support/article/CS358831

    Mis à jour le 15 décembre 2021 à 8 h 08

  • Creo Simulate

    https://www.ptc.com/en/support/article/CS358831

    Mis à jour le 15 décembre 2021 à 16 h 49

  • Creo View

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Référez-vous à l'article CS358831 si le serveur de licences Creo est affecté par cette faille de sécurité : https://www.ptc.com/en/support/article/CS358831

    Mis à jour le 16 décembre 2021 à 15 h
  • Creo View Adapters

    https://www.ptc.com/en/support/article/CS359116

    Mis à jour le 15 décembre 2021 à 20 h 08

  • Empower

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 16 décembre 2021 à 15 h 50

  • iWarranty

    L'analyse des garanties (Service Intelligence) utilise IBM Cognos. Veuillez vous reporter à la section Cognos ci-dessous, sous « Produits/outils tiers » pour plus d'informations. Tous les autres modules ne sont pas affectés par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 17 décembre 2021 à 9 h 11

  • Kepware

    https://www.ptc.com/en/support/article/CS358996

    Mis à jour le 15 décembre 2021 à 8 h 45

  • Mathcad

    https://www.ptc.com/en/support/article/CS358831

    Mis à jour le 16 décembre 2021 à 10 h 48

  • MKS Implementer

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de Log4j 1.x en cours.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • MKS Toolkit

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de log4j 1.x en cours.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • Que sont les cibles modèles ?

    Les cibles modèles reconnaissent les objets physiques par leurs données CAO. Elles sont parfaites pour effectuer le suivi de grosses machines ou d'automobiles. Les développeurs peuvent également exploiter le deep learning, ou apprentissage profond, pour que les modèles soient reconnus instantanément et automatiquement, quel que soit l'angle.
  • ObjectAda

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 15 décembre 2021 à 20 h 08

  • Onshape

    Résolu à 9 h 30 Heure de Washington, le vendredi 10 décembre 2021.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • Optegra

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de log4j 1.x en cours.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • Perc

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • PTC Modeler

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • PTC X/Server

    Non affecté par la vulnérabilité CVE2021-44228 de Log4j 1.x ou 2.x.

    Mis à jour le 16 décembre 2021 à 9 h 20

  • Service Knowledge Diagnostics (SKD)

    Non affecté par la vulnérabilité CVE2021-44228 de Log4j. Analyse de Log4j 1.x en cours.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • Servigistics

    https://www.ptc.com/en/support/article/CS358886

    Mis à jour le 14 décembre 2021 à 23 h 45

  • TeleUSE

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 15 décembre 2021 à 20 h 08

  • ThingWorx Analytics.

    https://www.ptc.com/en/support/article/CS358901

    Mis à jour le 15 décembre 2021 à 9 h 45

  • ThingWorx Platform

    https://www.ptc.com/en/support/article/CS358901

    Mis à jour le 14 décembre 2021 à 11 h 58

  • Vuforia Chalk

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • Vuforia Engine SDK

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • Vuforia Engine Server

    Résolu à 9 h 28 Heure de Washington, le vendredi 14 décembre 2021.

    Mis à jour le 16 décembre 2021 à 12 h 56.

  • Vuforia Expert Capture

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • Vuforia Instruct

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • Vuforia Studio

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • WebShip et MOVE

    Non affecté par la vulnérabilité CVE2021-44228 de Log4j. Analyse de Log4j 1.x en cours.

    Mis à jour le 14 décembre 2021 à 11 h 58

  • J'ai d'autres questions.

    Pour prendre connaissance des questions fréquentes sur Vuforia Engine, veuillez cliquer ici. Si vous souhaitez vous entretenir sur une question précise avec un expert AR, veuillez nous contacter via ce formulaire.
  • Windchill Navigate

    https://www.ptc.com/en/support/article/CS359107

    Mis à jour le 14 décembre 2021 à 17 h

  • Windchill PLM et FlexPLM

    https://www.ptc.com/en/support/article/CS358789

    Mis à jour le 14 décembre 2021 à 11 h 58

  • J'ai d'autres questions.

    Pour prendre connaissance des questions fréquentes sur Vuforia Engine, veuillez cliquer ici. Si vous souhaitez vous entretenir sur une question précise avec un expert AR, veuillez nous contacter via ce formulaire.
  • Windchill Product Analytics

    Non affecté par les vulnérabilités CVE-2021-44228 et CVE 2021-45046 de Log4j 2.x. Non affecté par la vulnérabilité CVE-2021-4041 de Logj4 1.x.

    Mis à jour le 16 décembre 2021 à 14 h 59

  • J'ai d'autres questions.

    Pour prendre connaissance des questions fréquentes sur Vuforia Engine, veuillez cliquer ici. Si vous souhaitez vous entretenir sur une question précise avec un expert AR, veuillez nous contacter via ce formulaire.
  • Windchill Risk and Reliability

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 14 décembre 2021 à 23 h 45

  • Windchill RV&S

    https://www.ptc.com/en/support/article/CS358804

    Mis à jour le 14 décembre 2021 à 11 h 58

  • X32Plus

    Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.

    Mis à jour le 15 décembre 2021 à 20 h 08

PTC Cloud

Mis à jour le 16 décembre 2021. Veuillez vous référer à cette alerte pour les mises à jour à venir.

En réponse aux failles de sécurité de Log4j, l'équipe du PTC Cloud est fermement résolue à appliquer les actions recommandées pour protéger le Cloud PTC des vulnérabilités CVE-2021-44228 et CVE 2021-45046 d'Apache Log4j 2 dans l'ensemble des vecteurs technologiques pris en charge par le service Cloud de PTC. Dans le cadre de cet engagement, nous sommes totalement alignés sur les différentes organisations R&D de PTC. Dans l'état actuel des choses, nous menons de manière proactive et rapide les actions requises afin de protéger au mieux nos clients contre ces failles de sécurité.  

Alors que nous mettons tout en œuvre pour faire face aux failles de sécurité de Log4j, veuillez noter que PTC Cloud s'emploie, de façon urgente, à atteindre cet objectif. Nous ferons de notre mieux pour communiquer à l'avance toute action nécessitant une durée d'immobilisation due à la maintenance. Toutefois, dans certains cas, étant donné que notre objectif premier est d'assurer votre protection, il se peut que nous ne puissions pas vous avertir à l'avance. 

Nous profiterons de ce forum de communication central pour vous tenir régulièrement à jour, comme il se doit, de la situation. Nous vous invitons à surveiller en permanence les mises à jour que nous pourrions vous adresser via ce moyen de communication.

Si vous avez des inquiétudes ou des questions, veuillez nous les adresser par e-mail à cloudservicemanagement@ptc.com et nous vous répondrons dans les meilleurs délais.  

 
  • Produits de base PTC

      Servigistics
    • L'équipe du PTC Cloud a fini d'appliquer tous les correctifs de maintenance applicables recommandés pour Log4j 2.15 chez tous nos clients qui utilisent des logiciels PTC Servigistics. Sur la base de recommandations récentes supplémentaires, nous prévoyons d'appliquer le correctif de maintenance et de sécurité Log4j 2.16. Cette opération sera lancée en fin de journée, le 16 décembre prochain. Comme nous l'avons fait précédemment, PTC Cloud annoncera à l'avance la fenêtre de maintenance ciblée, qui devrait durer de 60 à 90 minutes par client. Cette opération devrait être terminée au plus tard le 18 décembre.

      ThingWorx
    • En ce qui concerne les actions recommandées, PTC Cloud s'est aligné sur PTC R&D et sur les équipes de sécurité. Il est actuellement prévu que la maintenance préventive concernant les vulnérabilités Log4j liées à ThingWorx Platform débutera le 16 décembre. Au fur et à masure que les plans détaillés seront au point, nous communiquerons le plan d'action en conséquence.

      Windchill PLM et FlexPLM
    • Si l'on se base sur les versions des logiciels PTC tournant sur des plateformes PTC Cloud, ceux-ci ne sont pas affectés par la vulnérabilité Log4J. En ce qui concerne les applications tierces (Ping Federate, Cognos et Solr), veuillez vous référer aux informations ci-dessous.

  • Produits/outils tiers de PTC Cloud

      Ping Federate
    • Par mesure de précaution, PTC Cloud s'applique actuellement à mener une action de remédiation qui fournira une protection contre les vulnérabilités de Log4j. Cette opération qui devrait engendrer une immobilisation à durée limitée, sera lancée le 14 décembre. Elle sera menée rapidement et devrait se terminer le 16 décembre.

      Cognos
    • Par mesure de précaution, PTC Cloud a décidé de désactiver l'accès à Cognos jusqu'à nouvel ordre. PTC Cloud a bloqué aussitôt l'accès à cette application, en connaissance de cause, sans en avertir au préalable ses clients. Nous sommes sincèrement désolés de ne pas vous avoir avertis à l'avance. Toutefois, nous avons tenu à réagir rapidement afin de vous garantir le plus haut niveau de protection et de sécurité. PTC surveillera en permanence le statut des failles de sécurité Log4J ainsi que les événements liés à ces failles. Dès que nous aurons des informations sur la façon de procéder de la part du R&D et de l'équipe de sécurité, nous ne manquerons pas de vous en faire part.

      Solr
    • Par mesure de précaution, PTC Cloud s'applique actuellement à mener une action de remédiation qui fournira une protection contre les vulnérabilités de Log4j. Nous pensons que la durée d'interruption du service d'indexation de Solr sera limitée et que ce dernier sera de nouveau rétabli pour tous nos clients avant la fermeture des bureaux, le 16 décembre. Nous sommes sincèrement désolés de ne pas vous avoir avertis à l'avance. Toutefois, nous avons tenu à réagir rapidement afin de vous garantir le plus haut niveau de protection et de sécurité. Notez que, même si nos clients ne peuvent pas utiliser Solr pendant une courte période, il leur sera quand même possible d'utiliser la fonction de recherche dans les métadonnées (en recherchant par Nom, Numéro ou tout autre attribut). C'est d'ailleurs ce que leur conseille de faire PTC.

Remédiation recommandée pour les produits/outils tiers

Pour les produits non listés ci-dessous, nous vous ferons part des actions recommandées dès qu'elles seront disponibles. Veuillez vous référer à cette alerte pour les mises à jour à venir.

Si vous avez besoin de contacter PTC, veuillez consulter le site : www.ptc.com/support.