Per la correzione delle vulnerabilità Apache Log4j 2 CVE-2021-44228 e CVE 2021-45046, PTC consiglia di rimuovere la classe JNDILookup.class come descritto nella correzione suggerita da Apache. I test di PTC effettuati ad oggi (dal 10 dicembre al 15 dicembre 2021) non hanno riscontato alcun impatto negativo dovuto all'utilizzo di questo metodo. PTC non ha utilizzato questa funzionalità di caricamento dinamico nei propri prodotti e la correzione dovrebbe risultare efficace per la risoluzione della vulnerabilità con un livello di rischio molto basso per i prodotti PTC. Qualsiasi rischio correlato a questa modifica è limitato all'ambito del sottosistema di registrazione delle applicazioni e gli eventuali errori risultanti hanno un impatto decisamente meno rilevante rispetto all'esposizione della vulnerabilità. Per ridurre l'esposizione immediata a questo problema critico, i clienti possono correggere preventivamente la vulnerabilità in attesa della certificazione ufficiale.
Nella seguente documentazione di PTC relativa alla correzione, viene indicato anche dove è incorporata la libreria Log4j 2 nelle applicazioni di terze parti e vengono illustrate le azioni da intraprendere. È possibile che il software PTC non utilizzi Log4j 2, tuttavia, la libreria potrebbe essere incorporata nei componenti di terze parti che richiedono quindi una correzione. Per i casi in cui PTC utilizza Log4j 2, forniremo delle patch con le versioni aggiornate di Log4j 2. Si consiglia tuttavia, di non attendere il rilascio delle patch e intervenire immediatamente per proteggere i sistemi. Questa raccomandazione è valida per tutte le installazioni di cui potrebbero disporre i clienti, inclusi i sistemi di sviluppo e test, di produzione e alcune applicazioni desktop come indicato di seguito.
PTC ha deciso di non consigliare l'opzione di correzione alternativa, che prevede l'utilizzo delle proprietà di sistema per disabilitare la funzionalità. Riteniamo che questo tipo di correzione sia soggetto a errori nel passaggio corretto delle proprietà nelle applicazioni e, peggio ancora, a potenziali esclusioni successive che potrebbero compromettere una protezione adeguata dei sistemi. Il 15 dicembre 2021, questo metodo è stato dichiarato inefficace anche nel comunicato: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups
Per quanto riguarda la CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) per Apache Log4j 1.x, pubblicata il 14 dicembre 2021, PTC sta analizzando attivamente eventuali passaggi correttivi richiesti da ciascun prodotto. Il metodo JMSAppender descritto produce uno scenario simile alla vulnerabilità di Log4j 2 in cui un utente malintenzionato può sfruttare un broker JMS in un vettore di attacco JNDI/LDAP. Per l'abilitazione della funzionalità, la vulnerabilità richiede l'accesso amministrativo al sistema in quanto tale funzionalità è disabilitata per impostazione predefinita. La gravità risultante della CVE è di rischio Medio in considerazione dell'intervento richiesto per l'attivazione. I clienti che hanno abilitato questa funzionalità per un utilizzo personalizzato dovrebbero prendere in considerazione i passaggi correttivi forniti per la CVE. Non appena saranno disponibili ulteriori informazioni, PTC fornirà maggiori dettagli sul percorso di correzione per la vulnerabilità.
Per i prodotti non elencati di seguito, le azioni consigliate verranno comunicate non appena disponibili. Consultate questo avviso con regolarità per nuovi aggiornamenti.
Per contattare PTC, visitate il sito: www.ptc.com/support.
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
https://www.ptc.com/en/support/article/CS358998
Ultimo aggiornamento: 15 dicembre 2021, ore 9:45
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.
Ultimo aggiornamento: 15 dicembre 2021, ore 11:25
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Per l'impatto in Creo License Server, fate riferimento all'articolo CS358831: https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 16 dicembre 2021, ore 15:00
https://www.ptc.com/en/support/article/CS358990
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 15 dicembre 2021, ore 16:49
https://www.ptc.com/en/support/article/CS358965
Ultimo aggiornamento: 15 dicembre 2021, ore 8:08
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Non è richiesta nessuna azione.
Ultimo aggiornamento: 15 dicembre 2021, ore 8:08
https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 15 dicembre 2021, ore 16:49
https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 15 dicembre 2021, ore 8:08
https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 15 dicembre 2021, ore 8:08
https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 15 dicembre 2021, ore 16:49
https://www.ptc.com/en/support/article/CS359116
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
Non soggetto alla vulnerabilità Log4j CVE-2021-44228.
Ultimo aggiornamento: 16 dicembre 2021, ore 15:50
L'analisi delle garanzie (Intelligence del Service) utilizza IBM Cognos. Per ulteriori dettagli, fate riferimento alla sezione Cognos di seguito in "Prodotti/strumenti di terze parti". Tutti gli altri moduli non sono soggetti alla vulnerabilità Log4j CVE-2021-44228.
Ultimo aggiornamento: 17 dicembre 2021, ore 9:11
https://www.ptc.com/en/support/article/CS358996
Ultimo aggiornamento: 15 dicembre 2021, ore 8:45
https://www.ptc.com/en/support/article/CS358831
Ultimo aggiornamento: 16 dicembre 2021, ore 10:48
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
Vulnerabilità risolta venerdì 10 dicembre 2021, ore 9:30 (EST).
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Non soggetto alla vulnerabilità Log4j CVE2021-44228 1.x o 2.x.
Ultimo aggiornamento: 16 dicembre 2021, ore 9:20
Non soggetto alla vulnerabilità Log4j CVE2021-44228. Analisi di Log4j 1.x in corso.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
https://www.ptc.com/en/support/article/CS358886
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
https://www.ptc.com/en/support/article/CS358901
Ultimo aggiornamento: 15 dicembre 2021, ore 9:45
https://www.ptc.com/en/support/article/CS358901
Ultimo aggiornamento: 14 dicembre 2021, ore 23:58
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Risolta venerdì 14 dicembre 2021, ore 9:28 (PST).
Ultimo aggiornamento: 16 dicembre 2021, ore 12:56
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
Non soggetto alla vulnerabilità Log4j CVE2021-44228. Analisi di Log4j 1.x in corso.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:58
https://www.ptc.com/en/support/article/CS359107
Ultimo aggiornamento: 14 dicembre 2021, ore 17:00
https://www.ptc.com/en/support/article/CS358789
Ultimo aggiornamento: 14 dicembre 2021, ore 23:58
Non soggetto alle vulnerabilità Log4j 2.x CVE-2021-44228 e CVE 2021-45046. Non soggetto alla vulnerabilità Log4j 1.x CVE-2021-4041.
Ultimo aggiornamento: 16 dicembre 2021, ore 14:59
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 14 dicembre 2021, ore 23:45
https://www.ptc.com/en/support/article/CS358804
Ultimo aggiornamento: 14 dicembre 2021, ore 23:58
Non soggetto alla vulnerabilità Log4j CVE2021-44228.
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
Ultimo aggiornamento: 16 dicembre 2021. Consultate questo avviso con regolarità per nuovi aggiornamenti.
In risposta alle vulnerabilità della protezione Log4j, PTC Cloud è impegnata costantemente per l'applicazione di tutte le azioni formalmente consigliate per la protezione dalle vulnerabilità Apache Log4j 2 CVE-2021-44228 e CVE 2021-45046 in tutti i vettori tecnologici supportati come parte del servizio Cloud. Nell'ambito di tale impegno, il nostro team è completamente allineato con le diverse organizzazioni PTC di ricerca e sviluppo. A seconda dei casi, vengono intraprese in modo rapido e proattivo le azioni necessarie per proteggere nel modo migliore i nostri clienti dalle minacce alla sicurezza.
Nel reagire alla vulnerabilità Log4j, PTC Cloud si impegna ad agire con urgenza per raggiungere gli obiettivi. Faremo del nostro meglio per comunicare in anticipo qualsiasi azione che richieda periodi di inattività per manutenzione. Tuttavia, in alcuni casi potremmo non riuscire a pianificare la comunicazione in anticipo in quanto consideriamo protezione e sicurezza come principali priorità.
In questo forum di comunicazione centrale verranno forniti aggiornamenti continui in base alle esigenze. Vi consigliamo di monitorare costantemente gli aggiornamenti forniti attraverso questo canale di comunicazione.
Per ulteriori dubbi o domande, potete inviare le richieste a cloudservicemanagement@ptc.com, risponderemo il prima possibile.
Per i prodotti non elencati di seguito, le azioni consigliate verranno comunicate non appena disponibili. Consultate questo avviso con regolarità per nuovi aggiornamenti.
Per contattare PTC, visitate il sito: www.ptc.com/support.
https://www.ptc.com/en/support/article/CS359116
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
Per informazioni sull'impatto segnalato e sulle fasi di correzione consigliate, fate riferimento alla pagina degli aggiornamenti pubblicata da IBM: Aggiornamento sulla vulnerabilità Apache Log4j CVE-2021-44228
Per risolvere eventuali problemi immediati, è possibile disattivare Cognos fino alla disponibilità di ulteriori dettagli. La generazione di report sarà disabilitata fino alla risoluzione del problema. Tutte le altre funzionalità del prodotto non subiranno modifiche.
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
https://www.dynatrace.com/news/blog/how-dynatrace-uses-dynatrace-to-combat-the-log4j-vulnerability
Updated: January 13, 2022
https://www.ptc.com/en/support/article/CS358902
Ultimo aggiornamento: 14 dicembre 2021, ore 23:58
Per informazioni sull'impatto correlato a Solr e sulle fasi di correzione consigliate, fate riferimento all'avviso pubblicato da Apache Solr: Aggiornamento sulla vulnerabilità Apache Log4j CVE-2021-44228
Per risolvere eventuali problemi immediati, è possibile disattivare Solr fino alla disponibilità di ulteriori dettagli. Index Search sarà disabilitato fino alla risoluzione del problema. Tutte le altre funzionalità del prodotto non subiranno modifiche.
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
Per informazioni sull'impatto segnalato da TIBCO e sulle fasi di correzione consigliate, fate riferimento all'articolo pubblicato da TIBCO: Aggiornamento giornaliero di TIBCO sulla vulnerabilità Log4j
Ultimo aggiornamento: 15 dicembre 2021, ore 20:08
Lingua selezionata non disponibile
Questa esperienza non è disponibile nella lingua selezionata.
Per visualizzare questa esperienza, continuare nella lingua attuale.
Elemento non disponibile in italiano.