Log4j 보안 취약성 응답 센터

PTC 제품별 Log4j 보안 취약성(Apache Log4j CVE-2021-44228)에 대한 최신 정보는 여기를 확인하십시오.

마지막 업데이트 날짜: 2021년 12월 17일 오전 9:12

PTC의 수정 전략

Apache Log4j 2 CVE-2021-44228 및 CVE 2021-45046에 대한 수정 조치를 수행하는 경우 PTC는 Apache의 수정에 설명된 대로 JNDILookup.class를 제거할 것을 권장합니다. 현재까지(2021년 12월 10일부터 12월 15일까지) PTC에서 수행한 모든 테스트 과정 중 이 방법을 사용했을 때 부정적인 영향은 없었습니다. PTC는 당사의 제품에서 이 동적 로딩 기능을 사용하지 않았으며 이러한 수정 조치는 당사의 제품에 대한 취약성에 효과적이면서도 위험이 매우 낮아야 합니다. 이 변경 위험의 범위는 응용 프로그램의 로깅 하위 시스템으로 제한되며 이 변경 결과로 인해 발생하는 오류의 영향은 이 취약성에 노출되었을 때의 영향보다 훨씬 덜합니다. 고객은 이러한 중요한 문제에 대한 즉각적인 노출을 줄이기 위해 공식 인증을 기다리는 동안 사전에 취약성을 수정할 수 있습니다.

아래에 제공된 PTC의 수정 설명서에는 Log4j 2가 타사 응용 프로그램에 포함된 위치와 해당 응용 프로그램의 수정 방법도 설명되어 있습니다. PTC의 소프트웨어가 Log4j 2를 사용하지 않을 수 있지만 이러한 타사 제품에는 Log4j 2가 포함되었을 수 있습니다. 따라서 해당 제품도 마찬가지로 수정해야 합니다. PTC가 Log4j 2를 활용 중인 경우 업데이트된 Log4j 2 버전과 함께 패치 릴리즈를 제작할 예정입니다. 그러나 고객은 출시될 때까지 기다리지 말고 시스템 보안을 위해 즉시 필요한 조치를 취해야 합니다. 이러한 권장 사항은 아래 표시된 대로 생산 및 일부 데스크톱 응용 프로그램은 물론 개발 및 테스트 시스템을 포함하여 고객이 설치했을 수 있는 모든 항목에 적용됩니다.

PTC는 시스템 속성을 사용하여 기능을 비활성화하는 대체 수정 옵션을 권장하지 않기로 결정했습니다. PTC의 입장은 이러한 대체 옵션이 속성을 적절하게 응용 프로그램을 전달시킬 때 실패 시나리오를 경험할 가능성이 높으며 더 나빠진다면 나중에 시스템을 적절하게 보호하지 못할 수 있는 잠재적인 배제 가능성이 있다는 것입니다. 2021년 12월 15일부로 이 방법은 다음 공지에서 더 이상 유효하지 않은 방법이라고 발표되었습니다. https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups

2021년 12월 14일에 Apache Log4j 1.x용 CVE-2021-4041(https://bugzilla.redhat.com/show_bug.cgi?id=2031667)과 관련하여 PTC는 각 제품에 필요한 수정 단계를 적극적으로 조사하고 있습니다. 설명된 JMSAppender 방법은 공격자가 JNDI/LDAP 공격 벡터에 비해 JMS 브로커를 활용할 수 있는 Log4j 2의 취약성과 같은 시나리오를 만들어냅니다. 이 취약성의 경우 기본적으로 비활성화된 이 기능을 활성화하기 위해 시스템에 대한 관리자 액세스 권한이 필요합니다. 이 기능을 활성화하는 데 필요한 개입을 고려할 때 이 CVE의 결과 심각도는 중간 위험입니다. 직접 이 기능을 사용하도록 활성화한 고객은 이 CVE에 대해 제공되는 수정 단계를 고려해야 합니다. PTC는 정보가 공개되는 대로 이 취약성 경로에 대해 더 많은 정보를 제공할 것입니다.

 

핵심 제품별 권장 수정

아래에 나열되지 않은 제품의 경우 사용 가능한 권장 조치를 즉시 제공할 것입니다. 향후 업데이트에 대해서는 이 알림을 다시 참조하십시오.

PTC에 문의해야 하는 경우 www.ptc.com/support로 이동하십시오.

  • AdaWorld

    Log4j CVE2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 15일 오후 8:08

  • ApexAda

    Log4j CVE2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 15일 오후 8:08

  • Arena

    Log4j CVE2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • Atlas

    해결된 날짜: 2021년 12월 10일 오전 5:30(EST) 금요일
  • Arbortext

    https://www.ptc.com/en/support/article/CS358998

    업데이트된 날짜: 2021년 12월 15일 오전 9:45

  • Arbortext Content Delivery

    Log4j CVE-2021-44228 취약성에 취약하지 않습니다. log4j 1.x 분석이 진행 중입니다.

    업데이트된 날짜: 2021년 12월 15일 오전 11:25

  • Arbortext IsoDraw

    Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Creo License Server와 관련된 영향은 CS358831을 참조하십시오. https://www.ptc.com/en/support/article/CS358831

    업데이트된 날짜: 2021년 12월 16일 오후 3:00

  • Axeda

    https://www.ptc.com/en/support/article/CS358990

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • CADDS5

    Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • Creo Direct

    https://www.ptc.com/en/support/article/CS358831

    업데이트된 날짜: 2021년 12월 15일 오후 4:49

  • Creo Elements Direct

    https://www.ptc.com/en/support/article/CS358965

    업데이트된 날짜: 2021년 12월 15일 오전 8:08

  • Creo Generative Design

    Log4j CVE-2021-44228 취약성에 취약하지 않습니다. 추가 조치가 필요하지 않습니다.

    업데이트된 날짜: 2021년 12월 15일 오전 8:08

  • Creo Illustrate

    Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Creo License Server와 관련된 영향은 CS358831을 참조하십시오. https://www.ptc.com/en/support/article/CS358831

    업데이트된 날짜: 2021년 12월 16일 오후 3:00
  • Creo Layout

    https://www.ptc.com/en/support/article/CS358831

    업데이트된 날짜: 2021년 12월 15일 오후 4:49

  • Creo Parametric

    https://www.ptc.com/en/support/article/CS358831

    업데이트된 날짜: 2021년 12월 15일 오전 8:08

  • Creo Schematics

    https://www.ptc.com/en/support/article/CS358831

    업데이트된 날짜: 2021년 12월 15일 오전 8:08

  • Creo Simulate

    https://www.ptc.com/en/support/article/CS358831

    업데이트된 날짜: 2021년 12월 15일 오후 4:49

  • Creo View

    Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Creo License Server와 관련된 영향은 CS358831을 참조하십시오. https://www.ptc.com/ko/support/article/CS358831

    업데이트된 날짜: 2021년 12월 16일 오후 3:00
  • Creo View Adapters

    https://www.ptc.com/en/support/article/CS359116

    업데이트된 날짜: 2021년 12월 15일 오후 8:08

  • Empower

    Log4j CVE-2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 16일 오후 3:50

  • iWarranty

    Warranty 분석(Service Intelligence)은 IBM Cognos를 사용합니다. 자세한 내용은 "타사 도구/제품" 아래의 Cognos 섹션을 참조하십시오. 다른 모든 모듈은 Log4j CVE-2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 17일 오전 9:11

  • Kepware

    https://www.ptc.com/en/support/article/CS358996

    업데이트된 날짜: 2021년 12월 15일 오전 8:45

  • Mathcad

    https://www.ptc.com/en/support/article/CS358831

    업데이트된 날짜: 2021년 12월 16일 오전 10:48

  • MKS Implementer

    Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • MKS Toolkit

    Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • 모델 타겟이란 무엇입니까?

    모델 타겟을 사용하면 대형 물체에 정교한 고성능 AR 경험을 조성할 수 있습니다. 실물 스캔을 사용하는 다른 추적 기술과는 달리, 모델 타겟은 3D CAD를 활용하여 보다 정확한 경험을 선사합니다. 이 기술은 대형 기계, 자동차 또는 가전 제품에 적합합니다.
  • ObjectAda

    Log4j CVE2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 15일 오후 8:08

  • Onshape

    해결된 날짜: 2021년 12월 10일 오전 9:30(EST) 금요일

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • Optegra

    Log4j CVE-2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • Perc

    Log4j CVE2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • PTC Modeler

    Log4j CVE2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • PTC X/Server

    Log4j CVE2021-44228 1.x 또는 2.x 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 16일 오전 9:20

  • Service Knowledge Diagnostics(SKD)

    Log4j CVE2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • Servigistics

    https://www.ptc.com/en/support/article/CS358886

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • TeleUSE

    Log4j CVE2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 15일 오후 8:08

  • ThingWorx Analytics

    https://www.ptc.com/en/support/article/CS358901

    업데이트된 날짜: 2021년 12월 15일 오전 9:45

  • ThingWorx Navigate

    https://www.ptc.com/en/support/article/CS359107

    업데이트된 날짜: 2021년 12월 14일 오후 5시

  • ThingWorx Platform

    https://www.ptc.com/en/support/article/CS358901

    업데이트된 날짜: 2021년 12월 14일 오후 11:58

  • Vuforia Chalk

    Log4j CVE2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • Vuforia Engine SDK

    Log4j CVE2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • Vuforia Engine Server

    해결된 날짜: 2021년 12월 14일 오전 9:28(PST) 금요일

    업데이트된 날짜: 2021년 12월 16일 오후 12:56

  • Vuforia Expert Capture

    Log4j CVE2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • Vuforia Instruct

    Log4j CVE2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • Vuforia Studio

    Log4j CVE2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • Webship 및 MOVE

    Log4j CVE2021-44228 취약성에 취약하지 않습니다. Log4j 1.x 분석이 진행 중입니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:58

  • 추가 질문이 있습니다.

    Vuforia Engine에 대한 더 많은 FAQ를 보려면 여기를 클릭하십시오. 궁금한 점에 대해 AR 전문가와 상담하려면 이 양식을 통해 문의하십시오.
  • Windchill PLM 및 FlexPLM

    https://www.ptc.com/en/support/article/CS358789

    업데이트된 날짜: 2021년 12월 14일 오후 11:58

  • 추가 질문이 있습니다.

    Vuforia Engine에 대한 더 많은 FAQ를 보려면 여기를 클릭하십시오. 궁금한 점에 대해 AR 전문가와 상담하려면 이 양식을 통해 문의하십시오.
  • Windchill Product Analytics

    Log4j 2.x 취약성 CVE-2021-44228 및 CVE 2021-45046에 취약하지 않습니다. Log4j 1.x 취약성 CVE-2021-4041에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 16일 오후 2:59

  • 추가 질문이 있습니다.

    Vuforia Engine에 대한 더 많은 FAQ를 보려면 여기를 클릭하십시오. 궁금한 점에 대해 AR 전문가와 상담하려면 이 양식을 통해 문의하십시오.
  • Windchill Risk and Reliability

    Log4j CVE2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 14일 오후 11:45

  • Windchill RV&S

    https://www.ptc.com/en/support/article/CS358804

    업데이트된 날짜: 2021년 12월 14일 오후 11:58

  • X32Plus

    Log4j CVE2021-44228 취약성에 취약하지 않습니다.

    업데이트된 날짜: 2021년 12월 15일 오후 8:08

PTC 클라우드

2021년 12월 16일부로 업데이트되었습니다. 향후 업데이트에 대해서는 이 알림을 다시 참조하십시오.

Log4j 보안 취약성에 대응하여 PTC 클라우드는 PTC 클라우드 서비스의 일부로 지원되는 모든 기술 벡터에서 Apache Log4j 2 CVE-2021-44228 및 CVE 2021-45046으로부터 보호하기 위해 공식적으로 권장되는 모든 조치를 적용하기 위해 최선을 다하고 있습니다. 이러한 노력의 일환으로 PTC는 PTC의 다양한 R&D 조직과 완벽하게 협력하고 있습니다. 해당되는 경우 PTC는 보안 위협으로부터 고객을 가장 잘 보호하기 위해 필요한 조치를 사전에 신속하게 실행합니다.  

Log4j 상황에 대응하는 과정에서 PTC 클라우드는 이 목표를 달성하기 위해 긴급 조치를 취할 것입니다. 유지보수 가동 중단 시간이 필요한 모든 조치를 취하기 위해 사전에 커뮤니케이션하도록 최선을 다할 것입니다. 그러나 PTC는 보호와 보안을 가장 중요하게 생각하므로 경우에 따라 사전에 이러한 커뮤니케이션 계획을 세우지 못할 수도 있습니다. 

PTC는 필요한 경우 이 중앙 커뮤니케이션 포럼에서 지속적인 업데이트를 제공할 것입니다. 여러분은 이 커뮤니케이션 수단을 통해 업데이트를 지속적으로 모니터링할 것을 권장합니다.

추가 질문이나 문제가 있는 경우 문의 사항을 cloudservicemanagement@ptc.com으로 보내주십시오. 최대한 빨리 답변해 드리겠습니다.  

 
  • PTC 핵심 제품

      Servigistics
    • PTC 클라우드는 PTC Servigistics 소프트웨어를 실행하는 모든 고객에게 권장되는 해당 Log4j 2.15 유지보수 패치 적용을 완료했습니다. 최근 권고 사항 및 추가 권고 사항에 따라 Log4j 2.16 보안 유지보수 패치를 적용할 예정입니다. 이 활동은 12월 16일에 시작할 예정입니다. 이전처럼 PTC 클라우드는 대상 유지보수 기간을 사전에 발표할 것이며, 소요 시간은 고객당 60~90분으로 예상됩니다. 이 활동의 완료 날짜는 12월 18일로 예정되어 있습니다.

      ThingWorx
    • PTC 클라우드는 PTC의 R&D 및 보안 팀과 협력하여 권장 조치를 마련했습니다. 현재 ThingWorx Platform과 관련된 Log4j 취약성에 대한 예방적 유지보수가 12월 16일에 시작될 것으로 예상됩니다. 구체적인 계획이 나오면 그에 따른 실행 계획을 전달해 드리겠습니다.

      Windchill PLM 및 FlexPLM
    • PTC 클라우드 플랫폼에서 실행되는 PTC 소프트웨어 버전의 경우 Log4j에 대한 취약성은 없습니다. 타사 응용 프로그램(아래 Ping Federate, Cognos, Solr)에 대한 정보를 참조하십시오.

  • PTC 클라우드 타사 제품/도구

      Ping Federate
    • PTC 클라우드는 심혈을 기울여 Log4j 취약성에 대한 보호를 제공할 수정 조치를 적용하는 중입니다. 이 활동은 제한된 가동 중지 시간과 함께 실행될 것으로 예상되며 12월 14일에 시작해서 구현 과정에 있습니다. 이 활동은 빠른 속도로 진행되어 12월 16일에 완료될 것으로 예상됩니다.

      Cognos
    • PTC 클라우드는 고심 끝에 추후 공지가 있을 때까지 Cognos에 대한 액세스를 중단하기로 결정했습니다. PTC 클라우드는 당사의 고객에게 사전 통지 없이 즉시 이 응용 프로그램에 대한 액세스를 중지하기로 결정했습니다. 사전에 알려드리지 못한 점 진심으로 사과드립니다. 그러나 PTC는 여러분께 최고 수준의 보호 및 보안을 제공하기 위해 이 조치를 신속하게 취했습니다. PTC는 Log4j 취약성 관련 현황 및 이벤트를 지속적으로 모니터링하고 진행 방법에 대한 R&D 및 보안 팀의 추가 지침이 있으면 전달해 드리겠습니다.

      Solr
    • PTC 클라우드는 심혈을 기울여 Log4j 취약성에 대한 보호를 제공할 수정 조치를 적극적으로 취하고 있습니다. Solr 색인 서비스의 가동 중지 시간은 제한적일 것으로 예상되며, 이 서비스는 12월 16일 영업이 종료될 때까지 모든 고객을 위해 완전히 복구할 것입니다. 사전에 알려드리지 못한 점 진심으로 사과드립니다. 그러나 PTC는 여러분께 최고 수준의 보호 및 보안을 제공하기 위해 이 조치를 신속하게 취했습니다. 고객이 단기간 Solr를 사용할 수 없더라도 메타데이터 검색은 계속 사용할 수 있으며 PTC는 이 메타데이터 검색 기능(예: 이름, 번호 또는 기타 속성)을 사용할 것을 권장합니다.

타사 제품/도구별 권장 수정

아래에 나열되지 않은 제품의 경우 사용 가능한 권장 조치를 즉시 제공할 것입니다. 향후 업데이트에 대해서는 이 알림을 다시 참조하십시오.

PTC에 문의해야 하는 경우 www.ptc.com/support로 이동하십시오.