Para correção do Apache Log4j 2 CVE-2021-44228 e CVE 2021-45046, a PTC recomenda remover a classe JNDILookup.class conforme descrito na correção da Apache. Durante os testes da PTC até agora (10 a 15 de dezembro de 2021), não houve efeitos adversos decorrentes do uso desse método. A PTC não utilizou essa capacidade de carregamento dinâmico em nossos produtos, e a correção deve ser tanto efetiva para a vulnerabilidade quanto de risco muito baixo para nossos produtos. Qualquer risco decorrente dessa alteração é limitado em escopo ao subsistema de log dos aplicativos, e os erros resultantes são muito menos significativos do que a exposição dessa vulnerabilidade. Os clientes podem corrigir preventivamente a vulnerabilidade enquanto aguardam a certificação oficial para reduzir a exposição imediata a esse problema crítico.
Na documentação da correção da PTC fornecida abaixo, também falaremos sobre os casos em que o Log4j 2 está incorporado em aplicativos de terceiros e como corrigi-los. Embora o software da PTC possa não usar o Log4j 2, é possível que esses componentes de terceiros o tenham incorporado. Consequentemente, eles deverão ser reparados de forma semelhante. Nos casos em que a PTC utiliza o Log4j 2, produziremos lançamentos de patches com as versões atualizadas do Log4j 2. No entanto, os clientes não devem aguardar esses patches e devem adotar medidas de intervenção imediatamente para proteger seus sistemas. Essa recomendação aplica-se a todas as instalações dos clientes, incluindo sistemas de desenvolvimento, teste e produção, bem como alguns aplicativos e desktop conforme indicado a seguir.
A PTC decidiu não recomendar a opção de correção alternativa de usar propriedades do sistema para desabilitar o recurso. Nossa posição é que essa abordagem é suscetível a cenários de falha na passagem adequada das propriedades para os aplicativos e, pior ainda, à exclusão futura, o que pode não proteger seus sistemas adequadamente. Em 15 de dezembro de 2021, esse método também foi declarado ineficaz no seguinte boletim: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups
Em relação ao CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) para Apache Log4j 1.x, publicado em 14 de dezembro de 2021, a PTC está investigando ativamente quaisquer etapas de correção necessárias para cada produto. O método JMSAppender descrito produz um cenário semelhante à vulnerabilidade no Log4j 2, onde um invasor pode utilizar um JMS Broker contra um vetor de ataque JNDI/LDAP. Essa vulnerabilidade requer acesso administrativo ao sistema para habilitar esse recurso, o qual está desabilitado por padrão. A severidade resultante desse CVE é de risco Médio, considerando a intervenção que é necessária para habilitá-lo. Os clientes deverão considerar as etapas de correção fornecidas para este CVE caso tenham habilitado seu próprio uso desse recurso. A PTC fornecerá mais informações sobre esse caminho de vulnerabilidade à medida que elas se tornarem disponíveis.
Para produtos não relacionados abaixo, forneceremos as ações recomendadas assim que elas se tornarem disponíveis. Consulte este alerta regularmente para obter futuras atualizações.
Se precisar entrar em contato com a PTC, acesse: www.ptc.com/support.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228.
Atualizado em 15 de dezembro de 2021 Às 20h08.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228.
Atualizado em 15 de dezembro de 2021 Às 20h08.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228.
Atualizado em 14 de dezembro de 2021 às 23h45.
https://www.ptc.com/en/support/article/CS358998
Atualizado em 15 de dezembro de 2021 às 9h45.
Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Análise do Log4j 1.x em andamento.
Atualizado em 15 de dezembro de 2021 às 11h25.
Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Consulte o artigo CS358831 para impactos relacionados ao Creo License Server: https://www.ptc.com/en/support/article/CS358831
Atualizado em 16 de dezembro de 2021 às 15h00.
https://www.ptc.com/en/support/article/CS358990
Atualizado em 14 de dezembro de 2021 às 23h45.
Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Análise do Log4j 1.x em andamento.
Atualizado em 14 de dezembro de 2021 às 23h45.
https://www.ptc.com/en/support/article/CS358831
Atualizado em 15 de dezembro de 2021 às 16h49.
https://www.ptc.com/en/support/article/CS358965
Atualizado em 15 de dezembro de 2021 às 8h08.
Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Nenhuma ação adicional necessária.
Atualizado em 15 de dezembro de 2021 às 8h08.
https://www.ptc.com/en/support/article/CS358831
Atualizado em 15 de dezembro de 2021 às 16h49.
https://www.ptc.com/en/support/article/CS358831
Atualizado em 15 de dezembro de 2021 às 8h08.
https://www.ptc.com/en/support/article/CS358831
Atualizado em 15 de dezembro de 2021 às 8h08.
https://www.ptc.com/en/support/article/CS358831
Atualizado em 15 de dezembro de 2021 às 16h49.
https://www.ptc.com/en/support/article/CS359116
Atualizado em 15 de dezembro de 2021 Às 20h08.
Não suscetível à vulnerabilidade do Log4j CVE-2021-44228.
Atualizado em 16 de dezembro de 2021 às 15h50.
A análise de garantia (inteligência de serviço) usa o IBM Cognos. Consulte a seção sobre Cognos abaixo em "Produtos/ferramentas de terceiros" para obter mais detalhes. Os demais módulos não são suscetíveis à vulnerabilidade do Log4j CVE-2021-44228.
Atualizado em 17 de dezembro de 2021 às 9h11.
https://www.ptc.com/en/support/article/CS358996
Atualizado em 15 de dezembro de 2021 às 8h45.
https://www.ptc.com/en/support/article/CS358831
Atualizado em 16 de dezembro de 2021 às 10h48
Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Análise do Log4j 1.x em andamento.
Atualizado em 14 de dezembro de 2021 às 23h45.
Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Análise do Log4j 1.x em andamento.
Atualizado em 14 de dezembro de 2021 às 23h45.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228.
Atualizado em 15 de dezembro de 2021 Às 20h08.
Resolvido às 9h30 (EST) de sexta-feira, 10 de dezembro de 2021.
Atualizado em 14 de dezembro de 2021 às 23h45.
Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Análise do Log4j 1.x em andamento.
Atualizado em 14 de dezembro de 2021 às 23h45.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228.
Atualizado em 14 de dezembro de 2021 às 23h45.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228 1.x ou 2.x.
Atualizado em 16 de dezembro de 2021 às 9h20.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228. Análise do Log4j 1.x em andamento.
Atualizado em 14 de dezembro de 2021 às 23h45.
https://www.ptc.com/en/support/article/CS358886
Atualizado em 14 de dezembro de 2021 às 23h45.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228.
Atualizado em 15 de dezembro de 2021 Às 20h08.
https://www.ptc.com/en/support/article/CS358901
Atualizado em 15 de dezembro de 2021 às 9h45.
https://www.ptc.com/en/support/article/CS359107
Atualizado em 14 de dezembro de 2021 às 17h.
https://www.ptc.com/en/support/article/CS358901
Atualizado em 14 de dezembro de 2021 às 23h58.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228.
Atualizado em 14 de dezembro de 2021 às 23h45.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228.
Atualizado em 14 de dezembro de 2021 às 23h45.
Resolvido às 9h28 (PST) de sexta-feira, 14 de dezembro de 2021.
Atualizado em 16 de dezembro de 2021 às 12h56.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228.
Atualizado em 14 de dezembro de 2021 às 23h45.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228.
Atualizado em 14 de dezembro de 2021 às 23h45.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228.
Atualizado em 14 de dezembro de 2021 às 23h45.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228. Análise do Log4j 1.x em andamento.
Atualizado em 14 de dezembro de 2021 às 23h58.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228.
Atualizado em 14 de dezembro de 2021 às 23h45.
https://www.ptc.com/en/support/article/CS358789
Atualizado em 14 de dezembro de 2021 às 23h58.
Não suscetível às vulnerabilidades do Log4j 2.x CVE-2021-44228 e CVE 2021-45046. Não suscetível à vulnerabilidade do Log4j 1.x CVE-2021-4041.
Atualizado em 16 de dezembro de 2021 às 14h59.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228.
Atualizado em 14 de dezembro de 2021 às 23h45.
https://www.ptc.com/en/support/article/CS358804
Atualizado em 14 de dezembro de 2021 às 23h58.
Não suscetível à vulnerabilidade do Log4j CVE2021-44228.
Atualizado em 15 de dezembro de 2021 Às 20h08.
Atualizado em 16 de dezembro de 2021. Consulte este alerta regularmente para obter futuras atualizações.
Em resposta às vulnerabilidades de segurança do Log4j, a PTC Cloud está inteiramente comprometida com a aplicação de todas as ações formalmente recomendadas para garantir proteção contra o Apache Log4j 2 CVE-2021-44228 e CVE 2021-45046 em todos os vetores de tecnologia suportados como parte de nosso serviço de nuvem. Como parte desse compromisso, estamos completamente alinhados às várias organizações de pesquisa e desenvolvimento da PTC. Conforme aplicável estamos executando de forma proativa e rápida as ações necessárias para melhor proteger nossos clientes contra ameaças à segurança.
Observe que, à medida que continuamos a reagir à situação do Log4j, a PTC Cloud atuará com urgência para alcançar esse objetivo. Faremos o melhor possível para comunicar com antecedência qualquer ação que exija uma parada para manutenção. No entanto, em alguns casos, como nossa principal prioridade é oferecer proteção e segurança, talvez não seja possível planejar as comunicações previamente.
Forneceremos atualizações constantes neste fórum de comunicação central conforme necessário. Recomendamos monitorar continuamente as atualizações por meio deste veículo de comunicação.
Em caso de dúvidas ou preocupações adicionais, envie um email para cloudservicemanagement@ptc.com. Responderemos à sua mensagem o mais rápido possível.
Para produtos não relacionados abaixo, forneceremos as ações recomendadas assim que elas se tornarem disponíveis. Consulte este alerta regularmente para obter futuras atualizações.
Se precisar entrar em contato com a PTC, acesse: www.ptc.com/support.
https://www.ptc.com/en/support/article/CS359116
Atualizado em 15 de dezembro de 2021 Às 20h08.
Consulte a página de atualização publicada pela IBM para ver os impactos reportados e as etapas de correção recomendadas: Uma atualização sobre a vulnerabilidade do Apache Log4j CVE-2021-44228
Para lidar com preocupações imediatas, o Cognos poderá ser desativado até que mais detalhes sejam confirmados. A geração de relatórios será desabilitada até a resolução. Toda a demais funcionalidade permanecerá normal.
Atualizado em 15 de dezembro de 2021 Às 20h08.
https://www.dynatrace.com/news/blog/how-dynatrace-uses-dynatrace-to-combat-the-log4j-vulnerability/
Atualizado em 20 de janeiro de 2021 às 8h53.
https://www.ptc.com/en/support/article/CS358902
Atualizado em 14 de dezembro de 2021 às 23h58.
Consulte a recomendação publicada pelo Apache Solr para ver os impactos relacionados ao Solr e as etapas de correção recomendadas: Apache Solr afetado pelo Apache Log4J CVE-2021-44228
Para lidar com preocupações imediatas, o Solr poderá ser desativado até que mais detalhes sejam confirmados. A pesquisa de índice será desabilitada até a resolução. Toda a demais funcionalidade permanecerá normal.
Atualizado em 15 de dezembro de 2021 Às 20h08.
Consulte o artigo publicado pela TIBCO para ver os impactos reportados e as etapas de correção recomendadas: Atualização diária sobre a vulnerabilidade do Log4j para TIBCO
Atualizado em 15 de dezembro de 2021 Às 20h08.
Página não encontrada
Item não disponível em inglês.