En ce qui concerne la remédiation d'Apache Log4j 2 CVE-2021-44228 et CVE 2021-45046, PTC recommande de supprimer la chaîne JNDILookup.class comme décrit dans la remédiation d'Apache. Comme le montrent les tests effectués par PTC jusqu'à cette date (à savoir entre le 10 décembre et le 15 décembre 2021), l'utilisation de cette méthode n'a pas eu d'effets négatifs. PTC n'a pas utilisé cette fonctionnalité de chargement dynamique dans ses produits. Cette remédiation devrait être à la fois efficace pour résoudre la vulnérabilité et à très faible risque pour ses produits. Si cette modification présente un risque, ce risque est limité au sous-système de journalisation des applications et les erreurs qui en résultent sont bien moins importantes que ne l'est l'exposition à une faille de sécurité. En attendant une certification officielle qui leur permettra de réduire leur exposition à ce problème critique, les clients peuvent, préventivement, remédier à cette faille de sécurité.
Dans la documentation PTC sur la remédiation, fournie ci-dessous, nous indiquerons clairement où est intégré Log4j 2 dans les applications tierces et comment remédier au problème. Dans le cas où des logiciels PTC n'utiliseraient pas Log4j 2, il est possible que des composants tiers l'aient intégré et qu'il soit donc nécessaire, de la même façon, de remédier à cette situation. Dans le cas où des logiciels PTC utiliseraient Log4j 2, nous fournirons les versions de correctifs nécessaires intégrant les versions mises à jour de Log4j 2. Toutefois, les clients ne doivent pas attendre ces correctifs. Ils doivent prendre immédiatement des mesures pour sécuriser leurs systèmes. Cette recommandation s'applique à toutes les installations de nos clients, y compris leurs systèmes de développement et de test, leurs systèmes de production, sans oublier leurs applications bureautiques, comme indiqué ci-dessous.
PTC a décidé de ne pas recommander l'autre option de remédiation qui consiste à utiliser les propriétés des systèmes pour désactiver la fonction. Selon nous, cette solution risque de mener à l'échec en faisant passer purement et simplement les propriétés dans les applications ou, pire, en les excluant potentiellement à l'avenir, ce qui peut ne pas protéger convenablement vos systèmes. Un bulletin daté du 15 décembre 2021 vient également de signaler l'inefficacité de cette méthode : https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups
Concernant la vulnérabilité CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) d'Apache Log4j 1.x, postée le 14 décembre 2021, PTC s'investit activement afin de proposer pour chaque produit les mesures de remédiation requises. La méthode JMSAppender qui y est décrite produit un scénario similaire à la faille de sécurité du Log4j 2 où un attaquant utilise un JMS Broker contre un vecteur d'attaque JNDI/LDAP. Cette faille nécessite un accès administratif au système pour activer cette fonction, désactivée par défaut. La gravité résultante de ce CVE (Common Vulnerabilities and Exposures, une liste publique de failles de sécurité informatique) correspond à un risque moyen étant donné l'intervention nécessaire pour l'activer. Les clients doivent considérer les étapes de remédiation fournies pour ce CVE s'ils ont activé leur propre utilisation de cette fonction. PTC fournira davantage d'informations sur ce parcours de résolution des failles au fur et à mesure que des informations seront disponibles.
Pour les produits non listés ci-dessous, nous vous ferons part des actions recommandées dès qu'elles seront disponibles. Veuillez vous référer à cette alerte pour les mises à jour à venir.
Si vous avez besoin de contacter PTC, veuillez consulter le site : www.ptc.com/support.
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 15 décembre 2021 à 20 h 08
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 15 décembre 2021 à 20 h 08
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
https://www.ptc.com/en/support/article/CS358998
Mis à jour le 15 décembre 2021 à 9 h 45
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de log4j 1.x en cours.
Mis à jour le 15 décembre 2021 à 11 h 25
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Référez-vous à l'article CS358831 si le serveur de licences Creo est affecté par cette faille de sécurité : https://www.ptc.com/en/support/article/CS358831
Mis à jour le 16 décembre 2021 à 15 h
https://www.ptc.com/en/support/article/CS358990
Mis à jour le 14 décembre 2021 à 23 h 45
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de log4j 1.x en cours.
Mis à jour le 14 décembre 2021 à 23 h 45
https://www.ptc.com/en/support/article/CS358831
Mis à jour le 15 décembre 2021 à 16 h 49
https://www.ptc.com/en/support/article/CS358965
Mis à jour le 15 décembre 2021 à 8 h 08
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Aucune autre action requise.
Mis à jour le 15 décembre 2021 à 8 h 08
https://www.ptc.com/en/support/article/CS358831
Mis à jour le 15 décembre 2021 à 16 h 49
https://www.ptc.com/en/support/article/CS358831
Mis à jour le 15 décembre 2021 à 8 h 08
https://www.ptc.com/en/support/article/CS358831
Mis à jour le 15 décembre 2021 à 8 h 08
https://www.ptc.com/en/support/article/CS358831
Mis à jour le 15 décembre 2021 à 16 h 49
https://www.ptc.com/en/support/article/CS359116
Mis à jour le 15 décembre 2021 à 20 h 08
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 16 décembre 2021 à 15 h 50
L'analyse des garanties (Service Intelligence) utilise IBM Cognos. Veuillez vous reporter à la section Cognos ci-dessous, sous « Produits/outils tiers » pour plus d'informations. Tous les autres modules ne sont pas affectés par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 17 décembre 2021 à 9 h 11
https://www.ptc.com/en/support/article/CS358996
Mis à jour le 15 décembre 2021 à 8 h 45
https://www.ptc.com/en/support/article/CS358831
Mis à jour le 16 décembre 2021 à 10 h 48
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de Log4j 1.x en cours.
Mis à jour le 14 décembre 2021 à 23 h 45
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de log4j 1.x en cours.
Mis à jour le 14 décembre 2021 à 23 h 45
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 15 décembre 2021 à 20 h 08
Résolu à 9 h 30 Heure de Washington, le vendredi 10 décembre 2021.
Mis à jour le 14 décembre 2021 à 23 h 45
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de log4j 1.x en cours.
Mis à jour le 14 décembre 2021 à 23 h 45
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
Non affecté par la vulnérabilité CVE2021-44228 de Log4j 1.x ou 2.x.
Mis à jour le 16 décembre 2021 à 9 h 20
Non affecté par la vulnérabilité CVE2021-44228 de Log4j. Analyse de Log4j 1.x en cours.
Mis à jour le 14 décembre 2021 à 23 h 45
https://www.ptc.com/en/support/article/CS358886
Mis à jour le 14 décembre 2021 à 23 h 45
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 15 décembre 2021 à 20 h 08
https://www.ptc.com/en/support/article/CS358901
Mis à jour le 15 décembre 2021 à 9 h 45
https://www.ptc.com/en/support/article/CS358901
Mis à jour le 14 décembre 2021 à 11 h 58
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
Résolu à 9 h 28 Heure de Washington, le vendredi 14 décembre 2021.
Mis à jour le 16 décembre 2021 à 12 h 56.
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
Non affecté par la vulnérabilité CVE2021-44228 de Log4j. Analyse de Log4j 1.x en cours.
Mis à jour le 14 décembre 2021 à 11 h 58
https://www.ptc.com/en/support/article/CS359107
Mis à jour le 14 décembre 2021 à 17 h
https://www.ptc.com/en/support/article/CS358789
Mis à jour le 14 décembre 2021 à 11 h 58
Non affecté par les vulnérabilités CVE-2021-44228 et CVE 2021-45046 de Log4j 2.x. Non affecté par la vulnérabilité CVE-2021-4041 de Logj4 1.x.
Mis à jour le 16 décembre 2021 à 14 h 59
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
https://www.ptc.com/en/support/article/CS358804
Mis à jour le 14 décembre 2021 à 11 h 58
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 15 décembre 2021 à 20 h 08
Mis à jour le 16 décembre 2021. Veuillez vous référer à cette alerte pour les mises à jour à venir.
En réponse aux failles de sécurité de Log4j, l'équipe du PTC Cloud est fermement résolue à appliquer les actions recommandées pour protéger le Cloud PTC des vulnérabilités CVE-2021-44228 et CVE 2021-45046 d'Apache Log4j 2 dans l'ensemble des vecteurs technologiques pris en charge par le service Cloud de PTC. Dans le cadre de cet engagement, nous sommes totalement alignés sur les différentes organisations R&D de PTC. Dans l'état actuel des choses, nous menons de manière proactive et rapide les actions requises afin de protéger au mieux nos clients contre ces failles de sécurité.
Alors que nous mettons tout en œuvre pour faire face aux failles de sécurité de Log4j, veuillez noter que PTC Cloud s'emploie, de façon urgente, à atteindre cet objectif. Nous ferons de notre mieux pour communiquer à l'avance toute action nécessitant une durée d'immobilisation due à la maintenance. Toutefois, dans certains cas, étant donné que notre objectif premier est d'assurer votre protection, il se peut que nous ne puissions pas vous avertir à l'avance.
Nous profiterons de ce forum de communication central pour vous tenir régulièrement à jour, comme il se doit, de la situation. Nous vous invitons à surveiller en permanence les mises à jour que nous pourrions vous adresser via ce moyen de communication.
Si vous avez des inquiétudes ou des questions, veuillez nous les adresser par e-mail à cloudservicemanagement@ptc.com et nous vous répondrons dans les meilleurs délais.
Pour les produits non listés ci-dessous, nous vous ferons part des actions recommandées dès qu'elles seront disponibles. Veuillez vous référer à cette alerte pour les mises à jour à venir.
Si vous avez besoin de contacter PTC, veuillez consulter le site : www.ptc.com/support.
https://www.ptc.com/en/support/article/CS359116
Mis à jour le 15 décembre 2021 à 20 h 08
Référez-vous à la page de mise à jour publiée par IBM pour connaître les effets rapportés et les mesures de remédiation recommandées : An update on the Apache Log4j CVE-2021-44228 vulnerability (Mise à jour relative à la vulnérabilité CVE-2021-44228 dans Apache Log4j - article en anglais)
Pour éviter tout problème immédiat, Cognos peut être désactivé en attendant des informations complémentaires. La génération de rapport sera désactivée tant que le problème ne sera pas résolu. Toutes les autres fonctionnalités du produit pourront être utilisées.
Mis à jour le 15 décembre 2021 à 20 h 08
https://www.dynatrace.com/news/blog/how-dynatrace-uses-dynatrace-to-combat-the-log4j-vulnerability
Updated: January 13, 2022
https://www.ptc.com/en/support/article/CS358902
Mis à jour le 14 décembre 2021 à 11 h 58
Référez-vous à la note d'information publiée sur Apache Solr pour connaître l'impact de la faille de sécurité sur Solr et les mesures de remédiation recommandées : Apache Solr affected by Apache Log4J CVE-2021-44228 (Impact d'Apache Log4J sur Apache Sorl - article en anglais)
Pour éviter tout problème immédiat, Sorl peut être désactivé en attendant des informations complémentaires. De même, Index Search devra être désactivé tant que le problème ne sera pas résolu. Toutes les autres fonctionnalités du produit pourront être utilisées.
Mis à jour le 15 décembre 2021 à 20 h 08
Référez-vous à l'article publié par TIBCO pour connaître les répercussions rapportées et les mesures de remédiation recommandées pour TIBCO : TIBCO Log4j Vulnerability Daily Update (Mise à jour quotidienne sur la vulnérabilité Log4j de TIBCO - article en anglais)
Mis à jour le 15 décembre 2021 à 20 h 08
Langue sélectionnée non disponible
Cette expérience n'est pas disponible dans la langue que vous avez sélectio...
Pour afficher cette expérience, veuillez continuer dans la langue actuelle.
Non disponible en anglais.