PTC의 수정 전략
Apache Log4j 2 CVE-2021-44228 및 CVE 2021-45046에 대한 수정 조치를 수행하는 경우 PTC는 Apache의 수정에 설명된 대로 JNDILookup.class를 제거할 것을 권장합니다. 현재까지(2021년 12월 10일부터 12월 15일까지) PTC에서 수행한 모든 테스트 과정 중 이 방법을 사용했을 때 부정적인 영향은 없었습니다. PTC는 당사의 제품에서 이 동적 로딩 기능을 사용하지 않았으며 이러한 수정 조치는 당사의 제품에 대한 취약성에 효과적이면서도 위험이 매우 낮아야 합니다. 이 변경 위험의 범위는 응용 프로그램의 로깅 하위 시스템으로 제한되며 이 변경 결과로 인해 발생하는 오류의 영향은 이 취약성에 노출되었을 때의 영향보다 훨씬 덜합니다. 고객은 이러한 중요한 문제에 대한 즉각적인 노출을 줄이기 위해 공식 인증을 기다리는 동안 사전에 취약성을 수정할 수 있습니다.
아래에 제공된 PTC의 수정 설명서에는 Log4j 2가 타사 응용 프로그램에 포함된 위치와 해당 응용 프로그램의 수정 방법도 설명되어 있습니다. PTC의 소프트웨어가 Log4j 2를 사용하지 않을 수 있지만 이러한 타사 제품에는 Log4j 2가 포함되었을 수 있습니다. 따라서 해당 제품도 마찬가지로 수정해야 합니다. PTC가 Log4j 2를 활용 중인 경우 업데이트된 Log4j 2 버전과 함께 패치 릴리즈를 제작할 예정입니다. 그러나 고객은 출시될 때까지 기다리지 말고 시스템 보안을 위해 즉시 필요한 조치를 취해야 합니다. 이러한 권장 사항은 아래 표시된 대로 생산 및 일부 데스크톱 응용 프로그램은 물론 개발 및 테스트 시스템을 포함하여 고객이 설치했을 수 있는 모든 항목에 적용됩니다.
PTC는 시스템 속성을 사용하여 기능을 비활성화하는 대체 수정 옵션을 권장하지 않기로 결정했습니다. PTC의 입장은 이러한 대체 옵션이 속성을 적절하게 응용 프로그램을 전달시킬 때 실패 시나리오를 경험할 가능성이 높으며 더 나빠진다면 나중에 시스템을 적절하게 보호하지 못할 수 있는 잠재적인 배제 가능성이 있다는 것입니다. 2021년 12월 15일부로 이 방법은 다음 공지에서 더 이상 유효하지 않은 방법이라고 발표되었습니다.
2021년 12월 14일에 Apache Log4j 1.x용 CVE-2021-4041(https://bugzilla.redhat.com/show_bug.cgi?id=2031667)과 관련하여 PTC는 각 제품에 필요한 수정 단계를 적극적으로 조사하고 있습니다. 설명된 JMSAppender 방법은 공격자가 JNDI/LDAP 공격 벡터에 비해 JMS 브로커를 활용할 수 있는 Log4j 2의 취약성과 같은 시나리오를 만들어냅니다. 이 취약성의 경우 기본적으로 비활성화된 이 기능을 활성화하기 위해 시스템에 대한 관리자 액세스 권한이 필요합니다. 이 기능을 활성화하는 데 필요한 개입을 고려할 때 이 CVE의 결과 심각도는 중간 위험입니다. 직접 이 기능을 사용하도록 활성화한 고객은 이 CVE에 대해 제공되는 수정 단계를 고려해야 합니다. PTC는 정보가 공개되는 대로 이 취약성 경로에 대해 더 많은 정보를 제공할 것입니다.
핵심 제품별 권장 수정
아래에 나열되지 않은 제품의 경우 사용 가능한 권장 조치를 즉시 제공할 것입니다. 향후 업데이트에 대해서는 이 알림을 다시 참조하십시오.
PTC에 문의해야 하는 경우 www.ptc.com/support로 이동하십시오.
AdaWorld
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 15일 오후 8:08
ApexAda
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 15일 오후 8:08
Arena
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Atlas
해결된 날짜: 2021년 12월 10일 오전 5:30(EST) 금요일
Arbortext
https://www.ptc.com/en/support/article/CS358998
업데이트된 날짜: 2021년 12월 15일 오전 9:45
Arbortext Content Delivery
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. log4j 1.x 분석이 진행 중입니다.
업데이트된 날짜: 2021년 12월 15일 오전 11:25
Arbortext IsoDraw
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Creo License Server와 관련된 영향은 CS358831을 참조하십시오. https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 16일 오후 3:00
Axeda
https://www.ptc.com/en/support/article/CS358990
업데이트된 날짜: 2021년 12월 14일 오후 11:45
CADDS5
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Creo Direct
https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 15일 오후 4:49
Creo Elements Direct
https://www.ptc.com/en/support/article/CS358965
업데이트된 날짜: 2021년 12월 15일 오전 8:08
Creo Generative Design
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. 추가 조치가 필요하지 않습니다.
업데이트된 날짜: 2021년 12월 15일 오전 8:08
Creo Illustrate
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Creo License Server와 관련된 영향은 CS358831을 참조하십시오. https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 16일 오후 3:00
Creo Layout
https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 15일 오후 4:49
Creo Parametric
https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 15일 오전 8:08
Creo Schematics
https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 15일 오전 8:08
Creo Simulate
https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 15일 오후 4:49
Creo View
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Creo License Server와 관련된 영향은 CS358831을 참조하십시오. https://www.ptc.com/ko/support/article/CS358831
업데이트된 날짜: 2021년 12월 16일 오후 3:00
Creo View Adapters
https://www.ptc.com/en/support/article/CS359116
업데이트된 날짜: 2021년 12월 15일 오후 8:08
Empower
Log4j CVE-2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 16일 오후 3:50
iWarranty
Warranty 분석(Service Intelligence)은 IBM Cognos를 사용합니다. 자세한 내용은 "타사 도구/제품" 아래의 Cognos 섹션을 참조하십시오. 다른 모든 모듈은 Log4j CVE-2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 17일 오전 9:11
Kepware
https://www.ptc.com/en/support/article/CS358996
업데이트된 날짜: 2021년 12월 15일 오전 8:45
Mathcad
https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 16일 오전 10:48
MKS Implementer
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
MKS Toolkit
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
모델 타겟이란 무엇입니까?
모델 타겟을 사용하면 대형 물체에 정교한 고성능 AR 경험을 조성할 수 있습니다. 실물 스캔을 사용하는 다른 추적 기술과는 달리, 모델 타겟은 3D CAD를 활용하여 보다 정확한 경험을 선사합니다. 이 기술은 대형 기계, 자동차 또는 가전 제품에 적합합니다.
ObjectAda
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 15일 오후 8:08
Onshape
해결된 날짜: 2021년 12월 10일 오전 9:30(EST) 금요일
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Optegra
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Perc
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
PTC Modeler
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
PTC X/Server
Log4j CVE2021-44228 1.x 또는 2.x 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 16일 오전 9:20
Service Knowledge Diagnostics(SKD)
Log4j CVE2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Servigistics
https://www.ptc.com/en/support/article/CS358886
업데이트된 날짜: 2021년 12월 14일 오후 11:45
TeleUSE
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 15일 오후 8:08
ThingWorx Analytics
https://www.ptc.com/en/support/article/CS358901
업데이트된 날짜: 2021년 12월 15일 오전 9:45
ThingWorx Platform
https://www.ptc.com/en/support/article/CS358901
업데이트된 날짜: 2021년 12월 14일 오후 11:58
Vuforia Chalk
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Vuforia Engine SDK
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Vuforia Engine Server
해결된 날짜: 2021년 12월 14일 오전 9:28(PST) 금요일
업데이트된 날짜: 2021년 12월 16일 오후 12:56
Vuforia Expert Capture
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Vuforia Instruct
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Vuforia Studio
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Webship 및 MOVE
Log4j CVE2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:58
추가 질문이 있습니다.
Vuforia Engine에 대한 더 많은 FAQ를 보려면 여기를 클릭하십시오. 궁금한 점에 대해 AR 전문가와 상담하려면 이 양식을 통해 문의하십시오.
Windchill Navigate
https://www.ptc.com/en/support/article/CS359107
업데이트된 날짜: 2021년 12월 14일 오후 5시
Windchill PLM 및 FlexPLM
https://www.ptc.com/en/support/article/CS358789
업데이트된 날짜: 2021년 12월 14일 오후 11:58
추가 질문이 있습니다.
Vuforia Engine에 대한 더 많은 FAQ를 보려면 여기를 클릭하십시오. 궁금한 점에 대해 AR 전문가와 상담하려면 이 양식을 통해 문의하십시오.
Windchill Product Analytics
Log4j 2.x 취약성 CVE-2021-44228 및 CVE 2021-45046에 취약하지 않습니다. Log4j 1.x 취약성 CVE-2021-4041에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 16일 오후 2:59
추가 질문이 있습니다.
Vuforia Engine에 대한 더 많은 FAQ를 보려면 여기를 클릭하십시오. 궁금한 점에 대해 AR 전문가와 상담하려면 이 양식을 통해 문의하십시오.
Windchill Risk and Reliability
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Windchill RV&S
https://www.ptc.com/en/support/article/CS358804
업데이트된 날짜: 2021년 12월 14일 오후 11:58
X32Plus
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 15일 오후 8:08
PTC 클라우드
2021년 12월 16일부로 업데이트되었습니다. 향후 업데이트에 대해서는 이 알림을 다시 참조하십시오.
Log4j 보안 취약성에 대응하여 PTC 클라우드는 PTC 클라우드 서비스의 일부로 지원되는 모든 기술 벡터에서 Apache Log4j 2 CVE-2021-44228 및 CVE 2021-45046으로부터 보호하기 위해 공식적으로 권장되는 모든 조치를 적용하기 위해 최선을 다하고 있습니다. 이러한 노력의 일환으로 PTC는 PTC의 다양한 R&D 조직과 완벽하게 협력하고 있습니다. 해당되는 경우 PTC는 보안 위협으로부터 고객을 가장 잘 보호하기 위해 필요한 조치를 사전에 신속하게 실행합니다.
Log4j 상황에 대응하는 과정에서 PTC 클라우드는 이 목표를 달성하기 위해 긴급 조치를 취할 것입니다. 유지보수 가동 중단 시간이 필요한 모든 조치를 취하기 위해 사전에 커뮤니케이션하도록 최선을 다할 것입니다. 그러나 PTC는 보호와 보안을 가장 중요하게 생각하므로 경우에 따라 사전에 이러한 커뮤니케이션 계획을 세우지 못할 수도 있습니다.
PTC는 필요한 경우 이 중앙 커뮤니케이션 포럼에서 지속적인 업데이트를 제공할 것입니다. 여러분은 이 커뮤니케이션 수단을 통해 업데이트를 지속적으로 모니터링할 것을 권장합니다.
추가 질문이나 문제가 있는 경우 문의 사항을 [email protected]으로 보내주십시오. 최대한 빨리 답변해 드리겠습니다.
PTC 핵심 제품
- Servigistics
- PTC 클라우드는 PTC Servigistics 소프트웨어를 실행하는 모든 고객에게 권장되는 해당 Log4j 2.15 유지보수 패치 적용을 완료했습니다. 최근 권고 사항 및 추가 권고 사항에 따라 Log4j 2.16 보안 유지보수 패치를 적용할 예정입니다. 이 활동은 12월 16일에 시작할 예정입니다. 이전처럼 PTC 클라우드는 대상 유지보수 기간을 사전에 발표할 것이며, 소요 시간은 고객당 60~90분으로 예상됩니다. 이 활동의 완료 날짜는 12월 18일로 예정되어 있습니다.
- ThingWorx
- PTC 클라우드는 PTC의 R&D 및 보안 팀과 협력하여 권장 조치를 마련했습니다. 현재 ThingWorx Platform과 관련된 Log4j 취약성에 대한 예방적 유지보수가 12월 16일에 시작될 것으로 예상됩니다. 구체적인 계획이 나오면 그에 따른 실행 계획을 전달해 드리겠습니다.
- Windchill PLM 및 FlexPLM
- PTC 클라우드 플랫폼에서 실행되는 PTC 소프트웨어 버전의 경우 Log4j에 대한 취약성은 없습니다. 타사 응용 프로그램(아래 Ping Federate, Cognos, Solr)에 대한 정보를 참조하십시오.
PTC 클라우드 타사 제품/도구
- Ping Federate
- PTC 클라우드는 심혈을 기울여 Log4j 취약성에 대한 보호를 제공할 수정 조치를 적용하는 중입니다. 이 활동은 제한된 가동 중지 시간과 함께 실행될 것으로 예상되며 12월 14일에 시작해서 구현 과정에 있습니다. 이 활동은 빠른 속도로 진행되어 12월 16일에 완료될 것으로 예상됩니다.
- Cognos
- PTC 클라우드는 고심 끝에 추후 공지가 있을 때까지 Cognos에 대한 액세스를 중단하기로 결정했습니다. PTC 클라우드는 당사의 고객에게 사전 통지 없이 즉시 이 응용 프로그램에 대한 액세스를 중지하기로 결정했습니다. 사전에 알려드리지 못한 점 진심으로 사과드립니다. 그러나 PTC는 여러분께 최고 수준의 보호 및 보안을 제공하기 위해 이 조치를 신속하게 취했습니다. PTC는 Log4j 취약성 관련 현황 및 이벤트를 지속적으로 모니터링하고 진행 방법에 대한 R&D 및 보안 팀의 추가 지침이 있으면 전달해 드리겠습니다.
- Solr
- PTC 클라우드는 심혈을 기울여 Log4j 취약성에 대한 보호를 제공할 수정 조치를 적극적으로 취하고 있습니다. Solr 색인 서비스의 가동 중지 시간은 제한적일 것으로 예상되며, 이 서비스는 12월 16일 영업이 종료될 때까지 모든 고객을 위해 완전히 복구할 것입니다. 사전에 알려드리지 못한 점 진심으로 사과드립니다. 그러나 PTC는 여러분께 최고 수준의 보호 및 보안을 제공하기 위해 이 조치를 신속하게 취했습니다. 고객이 단기간 Solr를 사용할 수 없더라도 메타데이터 검색은 계속 사용할 수 있으며 PTC는 이 메타데이터 검색 기능(예: 이름, 번호 또는 기타 속성)을 사용할 것을 권장합니다.
타사 제품/도구별 권장 수정
아래에 나열되지 않은 제품의 경우 사용 가능한 권장 조치를 즉시 제공할 것입니다. 향후 업데이트에 대해서는 이 알림을 다시 참조하십시오.
PTC에 문의해야 하는 경우 www.ptc.com/support로 이동하십시오.
Adobe Experience Manager(AEM)
https://www.ptc.com/en/support/article/CS359116
업데이트된 날짜: 2021년 12월 15일 오후 8:08
Cognos
보고된 영향 및 권장되는 수정 단계는 IBM에서 게시한 업데이트 페이지를 참조하십시오. An update on the Apache Log4j CVE-2021-44228 vulnerability
즉각적인 문제를 해결하기 위해 자세한 내용이 확인될 때까지 Cognos를 끌 수 있습니다. 해결될 때까지 보고서 생성이 비활성화됩니다. 다른 모든 제품 기능은 정상적으로 유지됩니다.
- Windchill 및 Cognos: https://www.ptc.com/en/support/article/CS359007
업데이트된 날짜: 2021년 12월 15일 오후 8:08
Performance Advisor(Dynatrace App Mon)
https://www.dynatrace.com/news/blog/how-dynatrace-uses-dynatrace-to-combat-the-log4j-vulnerability/
업데이트된 날짜: 2021년 1월 20일 오전 8:53
Ping Federate
https://www.ptc.com/en/support/article/CS358902
업데이트된 날짜: 2021년 12월 14일 오후 11:58
Solr
Solr 관련 영향 및 권장되는 수정 단계에 대해서는 Apache Solr에서 게시한 권고를 참조하십시오. Apache Solr affected by Apache Log4J CVE-2021-44228
즉각적인 문제를 해결하기 위해 자세한 내용이 확인될 때까지 Solr를 끌 수 있습니다. 해결될 때까지 색인 검색이 비활성화됩니다. 다른 모든 제품 기능은 정상적으로 유지됩니다.
- Windchill 및 Solr: https://www.ptc.com/en/support/article/CS359011
업데이트된 날짜: 2021년 12월 15일 오후 8:08
TIBCO
TIBCO에서 보고한 영향 및 권장되는 수정 단계에 대해서는 TIBCO에서 게시한 기사를 참조하십시오. TIBCO Log4j Vulnerability Daily Update
- Windchill 및 TIBCO: https://www.ptc.com/en/support/article/CS359008
업데이트된 날짜: 2021년 12월 15일 오후 8:08