Apache Log4j 2 CVE-2021-44228 및 CVE 2021-45046에 대한 수정 조치를 수행하는 경우 PTC는 Apache의 수정에 설명된 대로 JNDILookup.class를 제거할 것을 권장합니다. 현재까지(2021년 12월 10일부터 12월 15일까지) PTC에서 수행한 모든 테스트 과정 중 이 방법을 사용했을 때 부정적인 영향은 없었습니다. PTC는 당사의 제품에서 이 동적 로딩 기능을 사용하지 않았으며 이러한 수정 조치는 당사의 제품에 대한 취약성에 효과적이면서도 위험이 매우 낮아야 합니다. 이 변경 위험의 범위는 응용 프로그램의 로깅 하위 시스템으로 제한되며 이 변경 결과로 인해 발생하는 오류의 영향은 이 취약성에 노출되었을 때의 영향보다 훨씬 덜합니다. 고객은 이러한 중요한 문제에 대한 즉각적인 노출을 줄이기 위해 공식 인증을 기다리는 동안 사전에 취약성을 수정할 수 있습니다.
아래에 제공된 PTC의 수정 설명서에는 Log4j 2가 타사 응용 프로그램에 포함된 위치와 해당 응용 프로그램의 수정 방법도 설명되어 있습니다. PTC의 소프트웨어가 Log4j 2를 사용하지 않을 수 있지만 이러한 타사 제품에는 Log4j 2가 포함되었을 수 있습니다. 따라서 해당 제품도 마찬가지로 수정해야 합니다. PTC가 Log4j 2를 활용 중인 경우 업데이트된 Log4j 2 버전과 함께 패치 릴리즈를 제작할 예정입니다. 그러나 고객은 출시될 때까지 기다리지 말고 시스템 보안을 위해 즉시 필요한 조치를 취해야 합니다. 이러한 권장 사항은 아래 표시된 대로 생산 및 일부 데스크톱 응용 프로그램은 물론 개발 및 테스트 시스템을 포함하여 고객이 설치했을 수 있는 모든 항목에 적용됩니다.
PTC는 시스템 속성을 사용하여 기능을 비활성화하는 대체 수정 옵션을 권장하지 않기로 결정했습니다. PTC의 입장은 이러한 대체 옵션이 속성을 적절하게 응용 프로그램을 전달시킬 때 실패 시나리오를 경험할 가능성이 높으며 더 나빠진다면 나중에 시스템을 적절하게 보호하지 못할 수 있는 잠재적인 배제 가능성이 있다는 것입니다. 2021년 12월 15일부로 이 방법은 다음 공지에서 더 이상 유효하지 않은 방법이라고 발표되었습니다. https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups
2021년 12월 14일에 Apache Log4j 1.x용 CVE-2021-4041(https://bugzilla.redhat.com/show_bug.cgi?id=2031667)과 관련하여 PTC는 각 제품에 필요한 수정 단계를 적극적으로 조사하고 있습니다. 설명된 JMSAppender 방법은 공격자가 JNDI/LDAP 공격 벡터에 비해 JMS 브로커를 활용할 수 있는 Log4j 2의 취약성과 같은 시나리오를 만들어냅니다. 이 취약성의 경우 기본적으로 비활성화된 이 기능을 활성화하기 위해 시스템에 대한 관리자 액세스 권한이 필요합니다. 이 기능을 활성화하는 데 필요한 개입을 고려할 때 이 CVE의 결과 심각도는 중간 위험입니다. 직접 이 기능을 사용하도록 활성화한 고객은 이 CVE에 대해 제공되는 수정 단계를 고려해야 합니다. PTC는 정보가 공개되는 대로 이 취약성 경로에 대해 더 많은 정보를 제공할 것입니다.
아래에 나열되지 않은 제품의 경우 사용 가능한 권장 조치를 즉시 제공할 것입니다. 향후 업데이트에 대해서는 이 알림을 다시 참조하십시오.
PTC에 문의해야 하는 경우 www.ptc.com/support로 이동하십시오.
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 15일 오후 8:08
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 15일 오후 8:08
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
https://www.ptc.com/en/support/article/CS358998
업데이트된 날짜: 2021년 12월 15일 오전 9:45
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. log4j 1.x 분석이 진행 중입니다.
업데이트된 날짜: 2021년 12월 15일 오전 11:25
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Creo License Server와 관련된 영향은 CS358831을 참조하십시오. https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 16일 오후 3:00
https://www.ptc.com/en/support/article/CS358990
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 15일 오후 4:49
https://www.ptc.com/en/support/article/CS358965
업데이트된 날짜: 2021년 12월 15일 오전 8:08
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. 추가 조치가 필요하지 않습니다.
업데이트된 날짜: 2021년 12월 15일 오전 8:08
https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 15일 오후 4:49
https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 15일 오전 8:08
https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 15일 오전 8:08
https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 15일 오후 4:49
https://www.ptc.com/en/support/article/CS359116
업데이트된 날짜: 2021년 12월 15일 오후 8:08
Log4j CVE-2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 16일 오후 3:50
Warranty 분석(Service Intelligence)은 IBM Cognos를 사용합니다. 자세한 내용은 "타사 도구/제품" 아래의 Cognos 섹션을 참조하십시오. 다른 모든 모듈은 Log4j CVE-2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 17일 오전 9:11
https://www.ptc.com/en/support/article/CS358996
업데이트된 날짜: 2021년 12월 15일 오전 8:45
https://www.ptc.com/en/support/article/CS358831
업데이트된 날짜: 2021년 12월 16일 오전 10:48
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 15일 오후 8:08
해결된 날짜: 2021년 12월 10일 오전 9:30(EST) 금요일
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Log4j CVE2021-44228 1.x 또는 2.x 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 16일 오전 9:20
Log4j CVE2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
https://www.ptc.com/en/support/article/CS358886
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 15일 오후 8:08
https://www.ptc.com/en/support/article/CS358901
업데이트된 날짜: 2021년 12월 15일 오전 9:45
https://www.ptc.com/en/support/article/CS359107
업데이트된 날짜: 2021년 12월 14일 오후 5시
https://www.ptc.com/en/support/article/CS358901
업데이트된 날짜: 2021년 12월 14일 오후 11:58
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
해결된 날짜: 2021년 12월 14일 오전 9:28(PST) 금요일
업데이트된 날짜: 2021년 12월 16일 오후 12:56
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
Log4j CVE2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:58
https://www.ptc.com/en/support/article/CS358789
업데이트된 날짜: 2021년 12월 14일 오후 11:58
Log4j 2.x 취약성 CVE-2021-44228 및 CVE 2021-45046에 취약하지 않습니다. Log4j 1.x 취약성 CVE-2021-4041에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 16일 오후 2:59
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 14일 오후 11:45
https://www.ptc.com/en/support/article/CS358804
업데이트된 날짜: 2021년 12월 14일 오후 11:58
Log4j CVE2021-44228 취약성에 취약하지 않습니다.
업데이트된 날짜: 2021년 12월 15일 오후 8:08
2021년 12월 16일부로 업데이트되었습니다. 향후 업데이트에 대해서는 이 알림을 다시 참조하십시오.
Log4j 보안 취약성에 대응하여 PTC 클라우드는 PTC 클라우드 서비스의 일부로 지원되는 모든 기술 벡터에서 Apache Log4j 2 CVE-2021-44228 및 CVE 2021-45046으로부터 보호하기 위해 공식적으로 권장되는 모든 조치를 적용하기 위해 최선을 다하고 있습니다. 이러한 노력의 일환으로 PTC는 PTC의 다양한 R&D 조직과 완벽하게 협력하고 있습니다. 해당되는 경우 PTC는 보안 위협으로부터 고객을 가장 잘 보호하기 위해 필요한 조치를 사전에 신속하게 실행합니다.
Log4j 상황에 대응하는 과정에서 PTC 클라우드는 이 목표를 달성하기 위해 긴급 조치를 취할 것입니다. 유지보수 가동 중단 시간이 필요한 모든 조치를 취하기 위해 사전에 커뮤니케이션하도록 최선을 다할 것입니다. 그러나 PTC는 보호와 보안을 가장 중요하게 생각하므로 경우에 따라 사전에 이러한 커뮤니케이션 계획을 세우지 못할 수도 있습니다.
PTC는 필요한 경우 이 중앙 커뮤니케이션 포럼에서 지속적인 업데이트를 제공할 것입니다. 여러분은 이 커뮤니케이션 수단을 통해 업데이트를 지속적으로 모니터링할 것을 권장합니다.
추가 질문이나 문제가 있는 경우 문의 사항을 cloudservicemanagement@ptc.com으로 보내주십시오. 최대한 빨리 답변해 드리겠습니다.
아래에 나열되지 않은 제품의 경우 사용 가능한 권장 조치를 즉시 제공할 것입니다. 향후 업데이트에 대해서는 이 알림을 다시 참조하십시오.
PTC에 문의해야 하는 경우 www.ptc.com/support로 이동하십시오.
https://www.ptc.com/en/support/article/CS359116
업데이트된 날짜: 2021년 12월 15일 오후 8:08
보고된 영향 및 권장되는 수정 단계는 IBM에서 게시한 업데이트 페이지를 참조하십시오. An update on the Apache Log4j CVE-2021-44228 vulnerability
즉각적인 문제를 해결하기 위해 자세한 내용이 확인될 때까지 Cognos를 끌 수 있습니다. 해결될 때까지 보고서 생성이 비활성화됩니다. 다른 모든 제품 기능은 정상적으로 유지됩니다.
업데이트된 날짜: 2021년 12월 15일 오후 8:08
https://www.dynatrace.com/news/blog/how-dynatrace-uses-dynatrace-to-combat-the-log4j-vulnerability/
업데이트된 날짜: 2021년 1월 20일 오전 8:53
https://www.ptc.com/en/support/article/CS358902
업데이트된 날짜: 2021년 12월 14일 오후 11:58
Solr 관련 영향 및 권장되는 수정 단계에 대해서는 Apache Solr에서 게시한 권고를 참조하십시오. Apache Solr affected by Apache Log4J CVE-2021-44228
즉각적인 문제를 해결하기 위해 자세한 내용이 확인될 때까지 Solr를 끌 수 있습니다. 해결될 때까지 색인 검색이 비활성화됩니다. 다른 모든 제품 기능은 정상적으로 유지됩니다.
업데이트된 날짜: 2021년 12월 15일 오후 8:08
TIBCO에서 보고한 영향 및 권장되는 수정 단계에 대해서는 TIBCO에서 게시한 기사를 참조하십시오. TIBCO Log4j Vulnerability Daily Update
업데이트된 날짜: 2021년 12월 15일 오후 8:08
선택한 언어를 사용할 수 없음
영어로 제공되지 않는 항목입니다.