Centro risposte per la vulnerabilità Log4j

Controllate qui le informazioni più recenti sulla vulnerabilità della protezione Log4j per i prodotti PTC (Apache Log4j CVE-2021-44228).

Ultimo aggiornamento: 17 dicembre 2021, ore 9:12

Strategia PTC per la correzione

Per la correzione delle vulnerabilità Apache Log4j 2 CVE-2021-44228 e CVE 2021-45046, PTC consiglia di rimuovere la classe JNDILookup.class come descritto nella correzione suggerita da Apache. I test di PTC effettuati ad oggi (dal 10 dicembre al 15 dicembre 2021) non hanno riscontato alcun impatto negativo dovuto all'utilizzo di questo metodo. PTC non ha utilizzato questa funzionalità di caricamento dinamico nei propri prodotti e la correzione dovrebbe risultare efficace per la risoluzione della vulnerabilità con un livello di rischio molto basso per i prodotti PTC. Qualsiasi rischio correlato a questa modifica è limitato all'ambito del sottosistema di registrazione delle applicazioni e gli eventuali errori risultanti hanno un impatto decisamente meno rilevante rispetto all'esposizione della vulnerabilità. Per ridurre l'esposizione immediata a questo problema critico, i clienti possono correggere preventivamente la vulnerabilità in attesa della certificazione ufficiale.

Nella seguente documentazione di PTC relativa alla correzione, viene indicato anche dove è incorporata la libreria Log4j 2 nelle applicazioni di terze parti e vengono illustrate le azioni da intraprendere. È possibile che il software PTC non utilizzi Log4j 2, tuttavia, la libreria potrebbe essere incorporata nei componenti di terze parti che richiedono quindi una correzione. Per i casi in cui PTC utilizza Log4j 2, forniremo delle patch con le versioni aggiornate di Log4j 2. Si consiglia tuttavia, di non attendere il rilascio delle patch e intervenire immediatamente per proteggere i sistemi. Questa raccomandazione è valida per tutte le installazioni di cui potrebbero disporre i clienti, inclusi i sistemi di sviluppo e test, di produzione e alcune applicazioni desktop come indicato di seguito.

PTC ha deciso di non consigliare l'opzione di correzione alternativa, che prevede l'utilizzo delle proprietà di sistema per disabilitare la funzionalità. Riteniamo che questo tipo di correzione sia soggetto a errori nel passaggio corretto delle proprietà nelle applicazioni e, peggio ancora, a potenziali esclusioni successive che potrebbero compromettere una protezione adeguata dei sistemi. Il 15 dicembre 2021, questo metodo è stato dichiarato inefficace anche nel comunicato: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups

Per quanto riguarda la CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) per Apache Log4j 1.x, pubblicata il 14 dicembre 2021, PTC sta analizzando attivamente eventuali passaggi correttivi richiesti da ciascun prodotto. Il metodo JMSAppender descritto produce uno scenario simile alla vulnerabilità di Log4j 2 in cui un utente malintenzionato può sfruttare un broker JMS in un vettore di attacco JNDI/LDAP. Per l'abilitazione della funzionalità, la vulnerabilità richiede l'accesso amministrativo al sistema in quanto tale funzionalità è disabilitata per impostazione predefinita. La gravità risultante della CVE è di rischio Medio in considerazione dell'intervento richiesto per l'attivazione. I clienti che hanno abilitato questa funzionalità per un utilizzo personalizzato dovrebbero prendere in considerazione i passaggi correttivi forniti per la CVE. Non appena saranno disponibili ulteriori informazioni, PTC fornirà maggiori dettagli sul percorso di correzione per la vulnerabilità.

 

Correzione consigliata per prodotto di base

Per i prodotti non elencati di seguito, le azioni consigliate verranno comunicate non appena disponibili. Consultate questo avviso con regolarità per nuovi aggiornamenti.

Per contattare PTC, visitate il sito: www.ptc.com/support.

  • AdaWorld

    Non soggetto alla vulnerabilità Log4j CVE2021-44228.

    Ultimo aggiornamento: 15 dicembre 2021, ore 20:08

  • ApexAda

    Non soggetto alla vulnerabilità Log4j CVE2021-44228.

    Ultimo aggiornamento: 15 dicembre 2021, ore 20:08

  • Arena

    Non soggetto alla vulnerabilità Log4j CVE2021-44228.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • Atlas

    Vulnerabilità risolta venerdì 10 dicembre 2021, ore 5:30 (EST).
  • Arbortext

    https://www.ptc.com/en/support/article/CS358998

    Ultimo aggiornamento: 15 dicembre 2021, ore 9:45

  • Arbortext Content Delivery

    Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.

    Ultimo aggiornamento: 15 dicembre 2021, ore 11:25

  • Arbortext IsoDraw

    Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Per l'impatto in Creo License Server, fate riferimento all'articolo CS358831: https://www.ptc.com/en/support/article/CS358831

    Ultimo aggiornamento: 16 dicembre 2021, ore 15:00

  • Axeda

    https://www.ptc.com/en/support/article/CS358990

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • CADDS5

    Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • Creo Direct

    https://www.ptc.com/en/support/article/CS358831

    Ultimo aggiornamento: 15 dicembre 2021, ore 16:49

  • Creo Elements/Direct

    https://www.ptc.com/en/support/article/CS358965

    Ultimo aggiornamento: 15 dicembre 2021, ore 8:08

  • Creo Generative Design

    Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Non è richiesta nessuna azione.

    Ultimo aggiornamento: 15 dicembre 2021, ore 8:08

  • Creo Illustrate

    Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Per l'impatto in Creo License Server, fate riferimento all'articolo CS358831: https://www.ptc.com/en/support/article/CS358831

    Ultimo aggiornamento: 16 dicembre 2021, ore 15:00
  • Creo Layout

    https://www.ptc.com/en/support/article/CS358831

    Ultimo aggiornamento: 15 dicembre 2021, ore 16:49

  • Creo Parametric

    https://www.ptc.com/en/support/article/CS358831

    Ultimo aggiornamento: 15 dicembre 2021, ore 8:08

  • Creo Schematics

    https://www.ptc.com/en/support/article/CS358831

    Ultimo aggiornamento: 15 dicembre 2021, ore 8:08

  • Creo Simulate

    https://www.ptc.com/en/support/article/CS358831

    Ultimo aggiornamento: 15 dicembre 2021, ore 16:49

  • Creo View

    Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Per l'impatto in Creo License Server, fate riferimento all'articolo CS358831: https://www.ptc.com/en/support/article/CS358831

    Ultimo aggiornamento: 16 dicembre 2021, ore 15:00
  • Creo View Adapters

    https://www.ptc.com/en/support/article/CS359116

    Ultimo aggiornamento: 15 dicembre 2021, ore 20:08

  • Empower

    Non soggetto alla vulnerabilità Log4j CVE-2021-44228.

    Ultimo aggiornamento: 16 dicembre 2021, ore 15:50

  • iWarranty

    L'analisi delle garanzie (Intelligence del Service) utilizza IBM Cognos. Per ulteriori dettagli, fate riferimento alla sezione Cognos di seguito in "Prodotti/strumenti di terze parti". Tutti gli altri moduli non sono soggetti alla vulnerabilità Log4j CVE-2021-44228.

    Ultimo aggiornamento: 17 dicembre 2021, ore 9:11

  • Kepware

    https://www.ptc.com/en/support/article/CS358996

    Ultimo aggiornamento: 15 dicembre 2021, ore 8:45

  • Mathcad

    https://www.ptc.com/en/support/article/CS358831

    Ultimo aggiornamento: 16 dicembre 2021, ore 10:48

  • MKS Implementer

    Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • MKS Toolkit

    Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • Cosa sono i model target?

    I model target riconoscono oggetti fisici tramite i loro dati CAD e sono perfetti per monitorare grandi macchinari e automobili. Gli sviluppatori possono utilizzare anche il Deep Learning per consentire un riconoscimento immediato e automatico dei modelli da qualsiasi angolazione.
  • ObjectAda

    Non soggetto alla vulnerabilità Log4j CVE2021-44228.

    Ultimo aggiornamento: 15 dicembre 2021, ore 20:08

  • Onshape

    Vulnerabilità risolta venerdì 10 dicembre 2021, ore 9:30 (EST).

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • Optegra

    Non soggetto alla vulnerabilità Log4j CVE-2021-44228. Analisi di Log4j 1.x in corso.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • Perc

    Non soggetto alla vulnerabilità Log4j CVE2021-44228.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • PTC Modeler

    Non soggetto alla vulnerabilità Log4j CVE2021-44228.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • PTC X/Server

    Non soggetto alla vulnerabilità Log4j CVE2021-44228 1.x o 2.x.

    Ultimo aggiornamento: 16 dicembre 2021, ore 9:20

  • Service Knowledge and Diagnostics (SKD)

    Non soggetto alla vulnerabilità Log4j CVE2021-44228. Analisi di Log4j 1.x in corso.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • Servigistics

    https://www.ptc.com/en/support/article/CS358886

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • TeleUSE

    Non soggetto alla vulnerabilità Log4j CVE2021-44228.

    Ultimo aggiornamento: 15 dicembre 2021, ore 20:08

  • ThingWorx Analytics

    https://www.ptc.com/en/support/article/CS358901

    Ultimo aggiornamento: 15 dicembre 2021, ore 9:45

  • ThingWorx Platform

    https://www.ptc.com/en/support/article/CS358901

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:58

  • Vuforia Chalk

    Non soggetto alla vulnerabilità Log4j CVE2021-44228.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • SDK Vuforia Engine

    Non soggetto alla vulnerabilità Log4j CVE2021-44228.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • Server Vuforia Engine

    Risolta venerdì 14 dicembre 2021, ore 9:28 (PST).

    Ultimo aggiornamento: 16 dicembre 2021, ore 12:56

  • Vuforia Expert Capture

    Non soggetto alla vulnerabilità Log4j CVE2021-44228.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • Vuforia Instruct

    Non soggetto alla vulnerabilità Log4j CVE2021-44228.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • Vuforia Studio

    Non soggetto alla vulnerabilità Log4j CVE2021-44228.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • WebShip e MOVE

    Non soggetto alla vulnerabilità Log4j CVE2021-44228. Analisi di Log4j 1.x in corso.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:58

  • Ho altre domande.

    Per le domande più frequenti su Vuforia Engine, fate clic qui. Se desiderate parlare con un esperto di AR per risolvere qualsiasi dubbio, compilate questo modulo.
  • Windchill Navigate

    https://www.ptc.com/en/support/article/CS359107

    Ultimo aggiornamento: 14 dicembre 2021, ore 17:00

  • Windchill PLM e FlexPLM

    https://www.ptc.com/en/support/article/CS358789

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:58

  • Ho altre domande.

    Per le domande più frequenti su Vuforia Engine, fate clic qui. Se desiderate parlare con un esperto di AR per risolvere qualsiasi dubbio, compilate questo modulo.
  • Windchill Product Analytics

    Non soggetto alle vulnerabilità Log4j 2.x CVE-2021-44228 e CVE 2021-45046. Non soggetto alla vulnerabilità Log4j 1.x CVE-2021-4041.

    Ultimo aggiornamento: 16 dicembre 2021, ore 14:59

  • Ho altre domande.

    Per le domande più frequenti su Vuforia Engine, fate clic qui. Se desiderate parlare con un esperto di AR per risolvere qualsiasi dubbio, compilate questo modulo.
  • Windchill Risk and Reliability

    Non soggetto alla vulnerabilità Log4j CVE2021-44228.

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:45

  • Windchill RV&S

    https://www.ptc.com/en/support/article/CS358804

    Ultimo aggiornamento: 14 dicembre 2021, ore 23:58

  • X32Plus

    Non soggetto alla vulnerabilità Log4j CVE2021-44228.

    Ultimo aggiornamento: 15 dicembre 2021, ore 20:08

PTC Cloud

Ultimo aggiornamento: 16 dicembre 2021. Consultate questo avviso con regolarità per nuovi aggiornamenti.

In risposta alle vulnerabilità della protezione Log4j, PTC Cloud è impegnata costantemente per l'applicazione di tutte le azioni formalmente consigliate per la protezione dalle vulnerabilità Apache Log4j 2 CVE-2021-44228 e CVE 2021-45046 in tutti i vettori tecnologici supportati come parte del servizio Cloud. Nell'ambito di tale impegno, il nostro team è completamente allineato con le diverse organizzazioni PTC di ricerca e sviluppo. A seconda dei casi, vengono intraprese in modo rapido e proattivo le azioni necessarie per proteggere nel modo migliore i nostri clienti dalle minacce alla sicurezza.  

Nel reagire alla vulnerabilità Log4j, PTC Cloud si impegna ad agire con urgenza per raggiungere gli obiettivi. Faremo del nostro meglio per comunicare in anticipo qualsiasi azione che richieda periodi di inattività per manutenzione. Tuttavia, in alcuni casi potremmo non riuscire a pianificare la comunicazione in anticipo in quanto consideriamo protezione e sicurezza come principali priorità. 

In questo forum di comunicazione centrale verranno forniti aggiornamenti continui in base alle esigenze. Vi consigliamo di monitorare costantemente gli aggiornamenti forniti attraverso questo canale di comunicazione.

Per ulteriori dubbi o domande, potete inviare le richieste a cloudservicemanagement@ptc.com, risponderemo il prima possibile.  

 
  • Prodotti PTC di base

      Servigistics
    • Il team di PTC Cloud ha completato l'applicazione di tutte le patch di manutenzione Log4j 2.15 applicabili consigliate per tutti i clienti che eseguono il software PTC Servigistics. Sulla base di raccomandazioni recenti e aggiuntive, prevediamo l'applicazione della patch di manutenzione della protezione Log4j 2.16. Questa attività inizierà entro la fine della giornata del 16 dicembre. Come in precedenza, PTC Cloud annuncerà in anticipo l'intervallo di manutenzione mirata, della durata prevista di 60-90 minuti per cliente. Il completamento dell'attività è previsto entro il 18 dicembre.

      ThingWorx
    • Il team di PTC Cloud si è allineato con i team PTC di ricerca e sviluppo e della sicurezza rispetto alle azioni consigliate. Attualmente, l'inizio della manutenzione preventiva per le vulnerabilità Log4j relative a ThingWorx Platform è previsto per il 16 dicembre. Dopo la definizione dei piani dettagliati, PTC comunicherà il piano d'azione di conseguenza.

      Windchill PLM e FlexPLM
    • In base alle versioni del software PTC in esecuzione nelle piattaforme PTC Cloud, non è presente alcuna vulnerabilità Log4j. Consultate le informazioni relative alle applicazioni di terze parti (Ping Federate, Cognos, Solr di seguito).

  • Prodotti/strumenti di terze parti di PTC Cloud

      Ping Federate
    • Per la massima cautela, PTC Cloud sta applicando attivamente un'azione correttiva che fornirà protezione contro le vulnerabilità Log4j. Questa attività dovrebbe essere eseguita con tempi di inattività limitati e verrà implementata a partire dal 14 dicembre. L'attività si svolgerà rapidamente e dovrebbe essere completata entro il 16 dicembre.

      Cognos
    • Per la massima cautela, PTC Cloud ha deciso di sospendere l'accesso a Cognos fino a nuovo avviso. PTC Cloud ha deciso di sospendere l'accesso a questa applicazione immediatamente e consapevolmente, senza preavviso per i nostri clienti. Ci scusiamo per il mancato avviso proattivo, tuttavia, abbiamo intrapreso questa azione immediata per assicurare il massimo livello di protezione e sicurezza. PTC continuerà a monitorare lo stato e gli eventi relativi alle vulnerabilità Log4j e notificherà la disponibilità di ulteriori indicazioni del nostro team di ricerca e sviluppo e sicurezza in merito alle azioni da intraprendere.

      Solr
    • Per la massima cautela, PTC Cloud sta applicando attivamente un'azione correttiva per assicurare la protezione contro le vulnerabilità Log4j. Prevediamo un periodo di inattività limitato per il servizio dell'indice Solr con ripristino completo per tutti i clienti previsto entro fine giornata, il 16 dicembre. Ci scusiamo per il mancato avviso proattivo, tuttavia, abbiamo intrapreso questa azione immediata per assicurare il massimo livello di protezione e sicurezza. I clienti potrebbero non riuscire a utilizzare Solr per un breve periodo di tempo, tuttavia, la ricerca dei metadati sarà comunque disponibile. PTC consiglia l'utilizzo di questa funzionalità di ricerca dei metadati (ad esempio Nome, Numero o qualsiasi altro attributo).

Correzione consigliata per prodotti/strumenti di terze parti

Per i prodotti non elencati di seguito, le azioni consigliate verranno comunicate non appena disponibili. Consultate questo avviso con regolarità per nuovi aggiornamenti.

Per contattare PTC, visitate il sito: www.ptc.com/support.