• Log4j

Centro de resposta à vulnerabilidade de segurança do Log4j

Clique aqui para obter as informações mais recentes sobre a vulnerabilidade de segurança do Log4j por produto PTC (Apache Log4j CVE-2021-44228).

Última atualização: 17 de dezembro de 2021, 9h12.

Estratégia de correção da PTC

Para correção do Apache Log4j 2 CVE-2021-44228 e CVE 2021-45046, a PTC recomenda remover a classe JNDILookup.class conforme descrito na correção da Apache. Durante os testes da PTC até agora (10 a 15 de dezembro de 2021), não houve efeitos adversos decorrentes do uso desse método. A PTC não utilizou essa capacidade de carregamento dinâmico em nossos produtos, e a correção deve ser tanto efetiva para a vulnerabilidade quanto de risco muito baixo para nossos produtos. Qualquer risco decorrente dessa alteração é limitado em escopo ao subsistema de log dos aplicativos, e os erros resultantes são muito menos significativos do que a exposição dessa vulnerabilidade. Os clientes podem corrigir preventivamente a vulnerabilidade enquanto aguardam a certificação oficial para reduzir a exposição imediata a esse problema crítico.

Na documentação da correção da PTC fornecida abaixo, também falaremos sobre os casos em que o Log4j 2 está incorporado em aplicativos de terceiros e como corrigi-los. Embora o software da PTC possa não usar o Log4j 2, é possível que esses componentes de terceiros o tenham incorporado. Consequentemente, eles deverão ser reparados de forma semelhante. Nos casos em que a PTC utiliza o Log4j 2, produziremos lançamentos de patches com as versões atualizadas do Log4j 2. No entanto, os clientes não devem aguardar esses patches e devem adotar medidas de intervenção imediatamente para proteger seus sistemas. Essa recomendação aplica-se a todas as instalações dos clientes, incluindo sistemas de desenvolvimento, teste e produção, bem como alguns aplicativos e desktop conforme indicado a seguir.

A PTC decidiu não recomendar a opção de correção alternativa de usar propriedades do sistema para desabilitar o recurso. Nossa posição é que essa abordagem é suscetível a cenários de falha na passagem adequada das propriedades para os aplicativos e, pior ainda, à exclusão futura, o que pode não proteger seus sistemas adequadamente. Em 15 de dezembro de 2021, esse método também foi declarado ineficaz no seguinte boletim: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups

Em relação ao CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) para Apache Log4j 1.x, publicado em 14 de dezembro de 2021, a PTC está investigando ativamente quaisquer etapas de correção necessárias para cada produto. O método JMSAppender descrito produz um cenário semelhante à vulnerabilidade no Log4j 2, onde um invasor pode utilizar um JMS Broker contra um vetor de ataque JNDI/LDAP. Essa vulnerabilidade requer acesso administrativo ao sistema para habilitar esse recurso, o qual está desabilitado por padrão. A severidade resultante desse CVE é de risco Médio, considerando a intervenção que é necessária para habilitá-lo. Os clientes deverão considerar as etapas de correção fornecidas para este CVE caso tenham habilitado seu próprio uso desse recurso. A PTC fornecerá mais informações sobre esse caminho de vulnerabilidade à medida que elas se tornarem disponíveis.

 

Correção recomendada por produto básico

Para produtos não relacionados abaixo, forneceremos as ações recomendadas assim que elas se tornarem disponíveis. Consulte este alerta regularmente para obter futuras atualizações.

Se precisar entrar em contato com a PTC, acesse: www.ptc.com/support.

  • AdaWorld

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228.

    Atualizado em 15 de dezembro de 2021 Às 20h08.

  • ApexAda

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228.

    Atualizado em 15 de dezembro de 2021 Às 20h08.

  • Arena

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • Atlas

    Resolvido às 5h30 (EST) de sexta-feira, 10 de dezembro de 2021.
  • Arbortext

    https://www.ptc.com/en/support/article/CS358998

    Atualizado em 15 de dezembro de 2021 às 9h45.

  • Arbortext Content Delivery

    Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Análise do Log4j 1.x em andamento.

    Atualizado em 15 de dezembro de 2021 às 11h25.

  • Arbortext IsoDraw

    Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Consulte o artigo CS358831 para impactos relacionados ao Creo License Server: https://www.ptc.com/en/support/article/CS358831

    Atualizado em 16 de dezembro de 2021 às 15h00.

  • Axeda

    https://www.ptc.com/en/support/article/CS358990

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • CADDS5

    Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Análise do Log4j 1.x em andamento.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • Creo Direct

    https://www.ptc.com/en/support/article/CS358831

    Atualizado em 15 de dezembro de 2021 às 16h49.

  • Creo Elements Direct

    https://www.ptc.com/en/support/article/CS358965

    Atualizado em 15 de dezembro de 2021 às 8h08.

  • Creo Generative Design

    Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Nenhuma ação adicional necessária.

    Atualizado em 15 de dezembro de 2021 às 8h08.

  • Creo Illustrate

    Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Consulte o artigo CS358831 para impactos relacionados ao Creo License Server: https://www.ptc.com/en/support/article/CS358831

    Atualizado em 16 de dezembro de 2021 às 15h.
  • Creo Layout

    https://www.ptc.com/en/support/article/CS358831

    Atualizado em 15 de dezembro de 2021 às 16h49.

  • Creo Parametric

    https://www.ptc.com/en/support/article/CS358831

    Atualizado em 15 de dezembro de 2021 às 8h08.

  • Creo Schematics

    https://www.ptc.com/en/support/article/CS358831

    Atualizado em 15 de dezembro de 2021 às 8h08.

  • Creo Simulate

    https://www.ptc.com/en/support/article/CS358831

    Atualizado em 15 de dezembro de 2021 às 16h49.

  • Creo View

    Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Consulte o artigo CS358831 para impactos relacionados ao Creo License Server: https://www.ptc.com/en/support/article/CS358831

    Atualizado em 16 de dezembro de 2021 às 15h.
  • Creo View Adapters

    https://www.ptc.com/en/support/article/CS359116

    Atualizado em 15 de dezembro de 2021 Às 20h08.

  • Empower

    Não suscetível à vulnerabilidade do Log4j CVE-2021-44228.

    Atualizado em 16 de dezembro de 2021 às 15h50.

  • iWarranty

    A análise de garantia (inteligência de serviço) usa o IBM Cognos. Consulte a seção sobre Cognos abaixo em "Produtos/ferramentas de terceiros" para obter mais detalhes. Os demais módulos não são suscetíveis à vulnerabilidade do Log4j CVE-2021-44228.

    Atualizado em 17 de dezembro de 2021 às 9h11.

  • Kepware

    https://www.ptc.com/en/support/article/CS358996

    Atualizado em 15 de dezembro de 2021 às 8h45.

  • Mathcad

    https://www.ptc.com/en/support/article/CS358831

    Atualizado em 16 de dezembro de 2021 às 10h48

  • MKS Implementer

    Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Análise do Log4j 1.x em andamento.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • MKS Toolkit

    Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Análise do Log4j 1.x em andamento.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • O que são alvos modelos?

    Os alvos modelos reconhecem objetos físicos por seus dados de CAD e são perfeitos para rastrear máquinas grandes e automóveis. Os desenvolvedores também podem usar Deep Learning para fazer com que os modelos sejam reconhecidos de forma instantânea e automática de qualquer ângulo.
  • ObjectAda

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228.

    Atualizado em 15 de dezembro de 2021 Às 20h08.

  • Onshape

    Resolvido às 9h30 (EST) de sexta-feira, 10 de dezembro de 2021.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • Optegra

    Não suscetível à vulnerabilidade do Log4j CVE-2021-44228. Análise do Log4j 1.x em andamento.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • Perc

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • PTC X/Server

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228 1.x ou 2.x.

    Atualizado em 16 de dezembro de 2021 às 9h20.

  • Service Knowledge Diagnostics (SKD)

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228. Análise do Log4j 1.x em andamento.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • Servigistics

    https://www.ptc.com/en/support/article/CS358886

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • TeleUSE

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228.

    Atualizado em 15 de dezembro de 2021 Às 20h08.

  • ThingWorx Analytics

    https://www.ptc.com/en/support/article/CS358901

    Atualizado em 15 de dezembro de 2021 às 9h45.

  • ThingWorx Navigate

    https://www.ptc.com/en/support/article/CS359107

    Atualizado em 14 de dezembro de 2021 às 17h.

  • ThingWorx Platform

    https://www.ptc.com/en/support/article/CS358901

    Atualizado em 14 de dezembro de 2021 às 23h58.

  • Vuforia Chalk

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • Vuforia Engine SDK

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • Vuforia Engine Server

    Resolvido às 9h28 (PST) de sexta-feira, 14 de dezembro de 2021.

    Atualizado em 16 de dezembro de 2021 às 12h56.

  • Vuforia Expert Capture

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • Vuforia Instruct

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • Vuforia Studio

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • Webship e MOVE

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228. Análise do Log4j 1.x em andamento.

    Atualizado em 14 de dezembro de 2021 às 23h58.

  • Eu tenho mais perguntas.

    Para mais perguntas frequentes sobre o Vuforia Engine, clique aqui. Se você deseja falar sobre sua pergunta com um especialista em AR, use este formulário para entrar em contato.
  • Windchill Modeler

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • Windchill PLM e FlexPLM

    https://www.ptc.com/en/support/article/CS358789

    Atualizado em 14 de dezembro de 2021 às 23h58.

  • Eu tenho mais perguntas.

    Para mais perguntas frequentes sobre o Vuforia Engine, clique aqui. Se você deseja falar sobre sua pergunta com um especialista em AR, use este formulário para entrar em contato.
  • Windchill Product Analytics

    Não suscetível às vulnerabilidades do Log4j 2.x CVE-2021-44228 e CVE 2021-45046. Não suscetível à vulnerabilidade do Log4j 1.x CVE-2021-4041.

    Atualizado em 16 de dezembro de 2021 às 14h59.

  • Eu tenho mais perguntas.

    Para mais perguntas frequentes sobre o Vuforia Engine, clique aqui. Se você deseja falar sobre sua pergunta com um especialista em AR, use este formulário para entrar em contato.
  • Windchill Risk and Reliability

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228.

    Atualizado em 14 de dezembro de 2021 às 23h45.

  • Windchill RV&S

    https://www.ptc.com/en/support/article/CS358804

    Atualizado em 14 de dezembro de 2021 às 23h58.

  • X32Plus

    Não suscetível à vulnerabilidade do Log4j CVE2021-44228.

    Atualizado em 15 de dezembro de 2021 Às 20h08.

PTC Cloud

Atualizado em 16 de dezembro de 2021. Consulte este alerta regularmente para obter futuras atualizações.

Em resposta às vulnerabilidades de segurança do Log4j, a PTC Cloud está inteiramente comprometida com a aplicação de todas as ações formalmente recomendadas para garantir proteção contra o Apache Log4j 2 CVE-2021-44228 e CVE 2021-45046 em todos os vetores de tecnologia suportados como parte de nosso serviço de nuvem. Como parte desse compromisso, estamos completamente alinhados às várias organizações de pesquisa e desenvolvimento da PTC. Conforme aplicável estamos executando de forma proativa e rápida as ações necessárias para melhor proteger nossos clientes contra ameaças à segurança.  

Observe que, à medida que continuamos a reagir à situação do Log4j, a PTC Cloud atuará com urgência para alcançar esse objetivo. Faremos o melhor possível para comunicar com antecedência qualquer ação que exija uma parada para manutenção. No entanto, em alguns casos, como nossa principal prioridade é oferecer proteção e segurança, talvez não seja possível planejar as comunicações previamente. 

Forneceremos atualizações constantes neste fórum de comunicação central conforme necessário. Recomendamos monitorar continuamente as atualizações por meio deste veículo de comunicação.

Em caso de dúvidas ou preocupações adicionais, envie um email para cloudservicemanagement@ptc.com. Responderemos à sua mensagem o mais rápido possível.  

 
  • Produtos básicos da PTC

      Servigistics
    • A PTC Cloud concluiu a aplicação de todos os patches de manutenção aplicáveis do Log4j 2.15 para todos os clientes que executam o software PTC Servigistics. Com base em recomendações recentes e adicionais, planejamos aplicar o patch de manutenção de segurança Log4j 2.16. Essa atividade será iniciada no final do dia em 16 de dezembro. Como antes, a PTC Cloud anunciará com antecedência a janela de manutenção pretendida, cuja expectativa é de 60 a 90 minutos por cliente. A previsão é que a atividade será concluída até 18 de dezembro.

      ThingWorx
    • A PTC Cloud se alinhou às equipes de pesquisa e desenvolvimento da PTC para a adoção das ações recomendadas. A estimativa é que manutenção preventiva referente às vulnerabilidades do Log4j relacionadas à ThingWorx Platform comece em 16 de dezembro. À medida que planos detalhados emergirem, comunicaremos o plano de ação de acordo.

      Windchill PLM e FlexPLM
    • Com base nas versões do software PTC em execução nas plataformas da PTC Cloud, não há vulnerabilidade ao Log4j. Consulte as informações abaixo relacionadas a aplicativos de terceiros (Ping Federate, Cognos, Solr).

  • Produtos/ferramentas de terceiros da PTC Cloud

      Ping Federate
    • Como precaução redobrada, a PTC Cloud está em meio ao processo de aplicar uma ação de correção que fornecerá proteção contra as vulnerabilidades do Log4j. Essa atividade está prevista para ocorrer com tempo de inatividade limitado e está em processo de ser implementada a partir de 14 de dezembro. A atividade ocorrerá da forma mais rápida possível e a expectativa é que esteja terminada em 16 de dezembro.

      Cognos
    • Como precaução, a PTC Cloud decidiu interromper o acesso ao Cognos por tempo indeterminado. A PTC Cloud decidiu interromper o acesso a esse aplicativo imediatamente, ciente de que não houve aviso prévio a nossos clientes. Pedimos sinceras desculpas por não ter sido possível avisar com antecedência. No entanto, adotamos essa medida para poder fornecer a você o mais alto nível de proteção e segurança. A PTC continuará a monitorar o status e os eventos relacionados às vulnerabilidades do Log4j e informará a todos quando recebermos instruções mais detalhadas de nossas equipes de pesquisa e desenvolvimento e segurança sobre como prosseguir.

      Solr
    • Como precaução redobrada, a PTC Cloud está realizando ativamente uma ação de correção que fornecerá proteção contra as vulnerabilidades do Log4j. Esperamos que a inatividade do serviço de índice Solr seja limitada e que o serviço seja restaurado completamente para todos os clientes no final do horário comercial em 16 de dezembro. Pedimos sinceras desculpas por não ter sido possível avisar com antecedência. No entanto, adotamos essa medida para poder fornecer a você o mais alto nível de proteção e segurança. Observe que, mesmo que os clientes não possam usar o Solr por um breve período de tempo, a pesquisa de metadados continuará disponível. A PTC recomenda usar esse recurso de pesquisa de metadados (por exemplo, nome, número ou qualquer outro atributo).

Correção recomendada por produtos/ferramentas de terceiros

Para produtos não relacionados abaixo, forneceremos as ações recomendadas assim que elas se tornarem disponíveis. Consulte este alerta regularmente para obter futuras atualizações.

Se precisar entrar em contato com a PTC, acesse: www.ptc.com/support.