Strategia PTC per la correzione
Per la correzione delle vulnerabilità Apache Log4j 2 CVE-2021-44228 e CVE 2021-45046, PTC consiglia di rimuovere la classe JNDILookup.class come descritto nella correzione suggerita da Apache. I test di PTC effettuati ad oggi (dal 10 dicembre al 15 dicembre 2021) non hanno riscontato alcun impatto negativo dovuto all'utilizzo di questo metodo. PTC non ha utilizzato questa funzionalità di caricamento dinamico nei propri prodotti e la correzione dovrebbe risultare efficace per la risoluzione della vulnerabilità con un livello di rischio molto basso per i prodotti PTC. Qualsiasi rischio correlato a questa modifica è limitato all'ambito del sottosistema di registrazione delle applicazioni e gli eventuali errori risultanti hanno un impatto decisamente meno rilevante rispetto all'esposizione della vulnerabilità. Per ridurre l'esposizione immediata a questo problema critico, i clienti possono correggere preventivamente la vulnerabilità in attesa della certificazione ufficiale.
Nella seguente documentazione di PTC relativa alla correzione, viene indicato anche dove è incorporata la libreria Log4j 2 nelle applicazioni di terze parti e vengono illustrate le azioni da intraprendere. È possibile che il software PTC non utilizzi Log4j 2, tuttavia, la libreria potrebbe essere incorporata nei componenti di terze parti che richiedono quindi una correzione. Per i casi in cui PTC utilizza Log4j 2, forniremo delle patch con le versioni aggiornate di Log4j 2. Si consiglia tuttavia, di non attendere il rilascio delle patch e intervenire immediatamente per proteggere i sistemi. Questa raccomandazione è valida per tutte le installazioni di cui potrebbero disporre i clienti, inclusi i sistemi di sviluppo e test, di produzione e alcune applicazioni desktop come indicato di seguito.
PTC ha deciso di non consigliare l'opzione di correzione alternativa, che prevede l'utilizzo delle proprietà di sistema per disabilitare la funzionalità. Riteniamo che questo tipo di correzione sia soggetto a errori nel passaggio corretto delle proprietà nelle applicazioni e, peggio ancora, a potenziali esclusioni successive che potrebbero compromettere una protezione adeguata dei sistemi.
Per quanto riguarda la CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) per Apache Log4j 1.x, pubblicata il 14 dicembre 2021, PTC sta analizzando attivamente eventuali passaggi correttivi richiesti da ciascun prodotto. Il metodo JMSAppender descritto produce uno scenario simile alla vulnerabilità di Log4j 2 in cui un utente malintenzionato può sfruttare un broker JMS in un vettore di attacco JNDI/LDAP. Per l'abilitazione della funzionalità, la vulnerabilità richiede l'accesso amministrativo al sistema in quanto tale funzionalità è disabilitata per impostazione predefinita. La gravità risultante della CVE è di rischio Medio in considerazione dell'intervento richiesto per l'attivazione. I clienti che hanno abilitato questa funzionalità per un utilizzo personalizzato dovrebbero prendere in considerazione i passaggi correttivi forniti per la CVE. Non appena saranno disponibili ulteriori informazioni, PTC fornirà maggiori dettagli sul percorso di correzione per la vulnerabilità.
Correzione consigliata per prodotto di base
Per i prodotti non elencati di seguito, le azioni consigliate verranno comunicate non appena disponibili. Consultate questo avviso con regolarità per nuovi aggiornamenti.
Per contattare PTC, visitate il sito: www.ptc.com/support.
AdaWorld
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
ApexAda
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
Arena
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Atlas
Vulnerabilità risolta venerdì 10 dicembre 2021, ore 5:30 (EST).
Arbortext
https://www.ptc.com/en/support/article/CS358998
Ultimo aggiornamento: 15 dicembre 2021, ore 9:45
Arbortext Content Delivery
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.
Ultimo aggiornamento: 15 dicembre 2021, ore 11:25
Arbortext IsoDraw
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Per l'impatto in Creo License Server, fate riferimento all'articolo CS358831: https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 16 dicembre 2021, ore 15:00
Axeda
https://www.ptc.com/en/support/article/CS358990
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
CADDS5
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Creo Direct
https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 15 dicembre 2021, ore 16:49
Creo Elements/Direct
https://www.ptc.com/en/support/article/CS358965
Ultimo aggiornamento: 15 dicembre 2021, ore 8:08
Creo Generative Design
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Non è richiesta nessuna azione.
Ultimo aggiornamento: 15 dicembre 2021, ore 8:08
Creo Illustrate
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Per l'impatto in Creo License Server, fate riferimento all'articolo CS358831: https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 16 dicembre 2021, ore 15:00
Creo Layout
https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 15 dicembre 2021, ore 16:49
Creo Parametric
https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 15 dicembre 2021, ore 8:08
Creo Schematics
https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 15 dicembre 2021, ore 8:08
Creo Simulate
https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 15 dicembre 2021, ore 16:49
Creo View
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Per l'impatto in Creo License Server, fate riferimento all'articolo CS358831: https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 16 dicembre 2021, ore 15:00
Creo View Adapters
https://www.ptc.com/en/support/article/CS359116
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
Empower
Non soggetto alla vulnerabilità Log4j CVE-2021-44228.
Ultimo aggiornamento: 16 dicembre 2021, ore 15:50
iWarranty
L'analisi delle garanzie (Intelligence del Service) utilizza IBM Cognos. Per ulteriori dettagli, fate riferimento alla sezione Cognos di seguito in "Prodotti/strumenti di terze parti". Tutti gli altri moduli non sono soggetti alla vulnerabilità Log4j CVE-2021-44228.
Ultimo aggiornamento: 17 dicembre 2021, ore 9:11
Kepware
https://www.ptc.com/en/support/article/CS358996
Ultimo aggiornamento: 15 dicembre 2021, ore 8:45
Mathcad
https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 16 dicembre 2021, ore 10:48
MKS Implementer
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
MKS Toolkit
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Cosa sono i model target?
I model target riconoscono oggetti fisici tramite i loro dati CAD e sono perfetti per monitorare grandi macchinari e automobili. Gli sviluppatori possono utilizzare anche il Deep Learning per consentire un riconoscimento immediato e automatico dei modelli da qualsiasi angolazione.
ObjectAda
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
Onshape
Vulnerabilità risolta venerdì 10 dicembre 2021, ore 9:30 (EST).
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Optegra
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Perc
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
PTC Modeler
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
PTC X/Server
Non soggetto alla vulnerabilità Log4j CVE2021-44228 1.x o 2.x.
Ultimo aggiornamento: 16 dicembre 2021, ore 9:20
Service Knowledge and Diagnostics (SKD)
Non soggetto alla vulnerabilità Log4j CVE2021-44228. Analisi di Log4j 1.x in corso.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Servigistics
https://www.ptc.com/en/support/article/CS358886
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
TeleUSE
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
ThingWorx Analytics
https://www.ptc.com/en/support/article/CS358901
Ultimo aggiornamento: 15 dicembre 2021, ore 9:45
ThingWorx Platform
https://www.ptc.com/en/support/article/CS358901
Ultimo aggiornamento: 14 dicembre 2021, ore 23:58
Vuforia Chalk
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
SDK Vuforia Engine
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Server Vuforia Engine
Risolta venerdì 14 dicembre 2021, ore 9:28 (PST).
Ultimo aggiornamento: 16 dicembre 2021, ore 12:56
Vuforia Expert Capture
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Vuforia Instruct
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Vuforia Studio
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
WebShip e MOVE
Non soggetto alla vulnerabilità Log4j CVE2021-44228. Analisi di Log4j 1.x in corso.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:58
Ho altre domande.
Per le domande più frequenti su Vuforia Engine, fate clic qui. Se desiderate parlare con un esperto di AR per risolvere qualsiasi dubbio, compilate questo modulo.
Windchill Navigate
https://www.ptc.com/en/support/article/CS359107
Ultimo aggiornamento: 14 dicembre 2021, ore 17:00
Windchill PLM e FlexPLM
https://www.ptc.com/en/support/article/CS358789
Ultimo aggiornamento: 14 dicembre 2021, ore 23:58
Ho altre domande.
Per le domande più frequenti su Vuforia Engine, fate clic qui. Se desiderate parlare con un esperto di AR per risolvere qualsiasi dubbio, compilate questo modulo.
Windchill Product Analytics
Non soggetto alle vulnerabilità Log4j 2.x CVE-2021-44228 e CVE 2021-45046. Non soggetto alla vulnerabilità Log4j 1.x CVE-2021-4041.
Ultimo aggiornamento: 16 dicembre 2021, ore 14:59
Ho altre domande.
Per le domande più frequenti su Vuforia Engine, fate clic qui. Se desiderate parlare con un esperto di AR per risolvere qualsiasi dubbio, compilate questo modulo.
Windchill Risk and Reliability
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Windchill RV&S
https://www.ptc.com/en/support/article/CS358804
Ultimo aggiornamento: 14 dicembre 2021, ore 23:58
X32Plus
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
PTC Cloud
Ultimo aggiornamento: 16 dicembre 2021. Consultate questo avviso con regolarità per nuovi aggiornamenti.
In risposta alle vulnerabilità della protezione Log4j, PTC Cloud è impegnata costantemente per l'applicazione di tutte le azioni formalmente consigliate per la protezione dalle vulnerabilità Apache Log4j 2 CVE-2021-44228 e CVE 2021-45046 in tutti i vettori tecnologici supportati come parte del servizio Cloud. Nell'ambito di tale impegno, il nostro team è completamente allineato con le diverse organizzazioni PTC di ricerca e sviluppo. A seconda dei casi, vengono intraprese in modo rapido e proattivo le azioni necessarie per proteggere nel modo migliore i nostri clienti dalle minacce alla sicurezza.
Nel reagire alla vulnerabilità Log4j, PTC Cloud si impegna ad agire con urgenza per raggiungere gli obiettivi. Faremo del nostro meglio per comunicare in anticipo qualsiasi azione che richieda periodi di inattività per manutenzione. Tuttavia, in alcuni casi potremmo non riuscire a pianificare la comunicazione in anticipo in quanto consideriamo protezione e sicurezza come principali priorità.
In questo forum di comunicazione centrale verranno forniti aggiornamenti continui in base alle esigenze. Vi consigliamo di monitorare costantemente gli aggiornamenti forniti attraverso questo canale di comunicazione.
Per ulteriori dubbi o domande, potete inviare le richieste a [email protected], risponderemo il prima possibile.
Prodotti PTC di base
- Servigistics
- Il team di PTC Cloud ha completato l'applicazione di tutte le patch di manutenzione Log4j 2.15 applicabili consigliate per tutti i clienti che eseguono il software PTC Servigistics. Sulla base di raccomandazioni recenti e aggiuntive, prevediamo l'applicazione della patch di manutenzione della protezione Log4j 2.16. Questa attività inizierà entro la fine della giornata del 16 dicembre. Come in precedenza, PTC Cloud annuncerà in anticipo l'intervallo di manutenzione mirata, della durata prevista di 60-90 minuti per cliente. Il completamento dell'attività è previsto entro il 18 dicembre.
- ThingWorx
- Il team di PTC Cloud si è allineato con i team PTC di ricerca e sviluppo e della sicurezza rispetto alle azioni consigliate. Attualmente, l'inizio della manutenzione preventiva per le vulnerabilità Log4j relative a ThingWorx Platform è previsto per il 16 dicembre. Dopo la definizione dei piani dettagliati, PTC comunicherà il piano d'azione di conseguenza.
- Windchill PLM e FlexPLM
- In base alle versioni del software PTC in esecuzione nelle piattaforme PTC Cloud, non è presente alcuna vulnerabilità Log4j. Consultate le informazioni relative alle applicazioni di terze parti (Ping Federate, Cognos, Solr di seguito).
Prodotti/strumenti di terze parti di PTC Cloud
- Ping Federate
- Per la massima cautela, PTC Cloud sta applicando attivamente un'azione correttiva che fornirà protezione contro le vulnerabilità Log4j. Questa attività dovrebbe essere eseguita con tempi di inattività limitati e verrà implementata a partire dal 14 dicembre. L'attività si svolgerà rapidamente e dovrebbe essere completata entro il 16 dicembre.
- Cognos
- Per la massima cautela, PTC Cloud ha deciso di sospendere l'accesso a Cognos fino a nuovo avviso. PTC Cloud ha deciso di sospendere l'accesso a questa applicazione immediatamente e consapevolmente, senza preavviso per i nostri clienti. Ci scusiamo per il mancato avviso proattivo, tuttavia, abbiamo intrapreso questa azione immediata per assicurare il massimo livello di protezione e sicurezza. PTC continuerà a monitorare lo stato e gli eventi relativi alle vulnerabilità Log4j e notificherà la disponibilità di ulteriori indicazioni del nostro team di ricerca e sviluppo e sicurezza in merito alle azioni da intraprendere.
- Solr
- Per la massima cautela, PTC Cloud sta applicando attivamente un'azione correttiva per assicurare la protezione contro le vulnerabilità Log4j. Prevediamo un periodo di inattività limitato per il servizio dell'indice Solr con ripristino completo per tutti i clienti previsto entro fine giornata, il 16 dicembre. Ci scusiamo per il mancato avviso proattivo, tuttavia, abbiamo intrapreso questa azione immediata per assicurare il massimo livello di protezione e sicurezza. I clienti potrebbero non riuscire a utilizzare Solr per un breve periodo di tempo, tuttavia, la ricerca dei metadati sarà comunque disponibile. PTC consiglia l'utilizzo di questa funzionalità di ricerca dei metadati (ad esempio Nome, Numero o qualsiasi altro attributo).
Correzione consigliata per prodotti/strumenti di terze parti
Per i prodotti non elencati di seguito, le azioni consigliate verranno comunicate non appena disponibili. Consultate questo avviso con regolarità per nuovi aggiornamenti.
Per contattare PTC, visitate il sito: www.ptc.com/support.
Adobe Experience Manager (AEM)
https://www.ptc.com/en/support/article/CS359116
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
Cognos
Per informazioni sull'impatto segnalato e sulle fasi di correzione consigliate, fate riferimento alla pagina degli aggiornamenti pubblicata da IBM: Aggiornamento sulla vulnerabilità Apache Log4j CVE-2021-44228
Per risolvere eventuali problemi immediati, è possibile disattivare Cognos fino alla disponibilità di ulteriori dettagli. La generazione di report sarà disabilitata fino alla risoluzione del problema. Tutte le altre funzionalità del prodotto non subiranno modifiche.
- Windchill e Cognos: https://www.ptc.com/en/support/article/CS359007
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
Performance Advisor (Dynatrace App Mon)
https://www.dynatrace.com/news/blog/how-dynatrace-uses-dynatrace-to-combat-the-log4j-vulnerability
Updated: January 13, 2022
Ping Federate
https://www.ptc.com/en/support/article/CS358902
Ultimo aggiornamento: 14 dicembre 2021, ore 23:58
Solr
Per informazioni sull'impatto correlato a Solr e sulle fasi di correzione consigliate, fate riferimento all'avviso pubblicato da Apache Solr: Aggiornamento sulla vulnerabilità Apache Log4j CVE-2021-44228
Per risolvere eventuali problemi immediati, è possibile disattivare Solr fino alla disponibilità di ulteriori dettagli. Index Search sarà disabilitato fino alla risoluzione del problema. Tutte le altre funzionalità del prodotto non subiranno modifiche.
- Windchill e Solr: https://www.ptc.com/en/support/article/CS359011
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
TIBCO
Per informazioni sull'impatto segnalato da TIBCO e sulle fasi di correzione consigliate, fate riferimento all'articolo pubblicato da TIBCO: Aggiornamento giornaliero di TIBCO sulla vulnerabilità Log4j
- Windchill e TIBCO: https://www.ptc.com/en/support/article/CS359008
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08