• Log4j

Центр реагирования на уязвимости безопасности Log4j

Смотрите здесь новейшую информацию об уязвимости безопасности Log4j по продуктам PTC (Apache Log4j CVE-2021-44228).

Последнее обновление: 17 декабря 2021 года 09:12

Стратегия PTC по устранению уязвимостей

Для устранения уязвимостей Apache Log4j 2 CVE-2021-44228 и CVE 2021-45046 компания PTC рекомендует удалить JNDILookup.class, как указано в рекомендации по устранению от Apache. На протяжении испытания компанией PTC до настоящего времени (с 10 по 15 декабря 2021 г.) отрицательного влияния этого метода не обнаружено. Компания PTC не использовала эту функцию динамической загрузки в своих продуктах, и это исправление одновременно должно быть эффективным для устранения уязвимости и создавать очень малый риск для наших продуктов. Любые риски, связанные с этим изменением, ограничены в объеме подсистемой ведения журналов приложений, и все возникшие в результате ошибки до настоящего времени были менее значительны, чем влияние этой уязвимости. Клиенты могут заблаговременно устранить уязвимость, ожидая официальной сертификации, для снижения непосредственного влияния на них этой критически важной проблемы.

В приведенной ниже документации по устранению уязвимости от PTC мы также объясняем, где библиотека Log4j 2 внедрена в сторонние приложения и как их исправить. Хотя библиотека Log4j 2 может не использоваться в программном обеспечении PTC, она может быть внедрена в сторонние компоненты, и эти компоненты должны быть исправлены аналогичным образом. В случаях, когда компания PTC использует Log4j 2, мы будем выпускать исправления с обновленными версиями Log4j 2. Однако клиентам не следует ждать их, а нужно незамедлительно принять профилактические меры для защиты своих систем. Эта рекомендация применяется ко всем установкам, которые могут быть у клиентов, включая системы, используемые для разработки и тестирования, а также производственные и некоторые настольные приложения, как указано ниже.

Компания PTC решила не рекомендовать альтернативный вариант исправления с использованием свойств системы для отключения данной функции. Наша позиция состоит в том, что эти варианты подвержены сценариям сбоев при надлежащей передаче свойств приложениям, а также, что еще хуже, потенциальному исключению в будущем, что может не обеспечить достаточную защиту ваших систем. По состоянию на 15 декабря 2021 этот метод также объявлен неэффективным в следующем информационном бюллетене: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups

Что касается уязвимости CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) для Apache Log4j 1.x, опубликованной 14 декабря 2021 года, компания PTC активно исследует все меры по устранению, которые требуются для каждого продукта. Описанный метод JMSAppender выполняет сценарий, как уязвимость в Log4j 2, при котором злоумышленник может использовать JMS Broker вместо вектора атак JNDI/LDAP. Эта уязвимость требует административного доступа к системе, чтобы включить эту функцию, которая по умолчанию отключена. В результате серьезность этой уязвимости CVE — «средний риск», с учетом вмешательства, которое требуется для ее активации. Клиентам следует учесть меры по устранению этой уязвимости CVE, если они включили эту функцию для собственного использования. Компания PTC будет предоставлять дополнительные сведения о развитии этой уязвимости по мере появления информации.

 

Рекомендованные исправления по основным продуктам

Для продуктов, не указанных ниже, мы предоставим рекомендованные действия, когда будем готовы. Пожалуйста, следите за этим оповещением для получения будущих обновлений.

В случае необходимости связаться с PTC, посетите веб-сайт: www.ptc.com/support.

  • AdaWorld

    Продукт не подвержен уязвимости Log4j CVE2021-44228.

    Обновлено 15 декабря 2021 года в 20:08

  • ApexAda

    Продукт не подвержен уязвимости Log4j CVE2021-44228.

    Обновлено 15 декабря 2021 года в 20:08

  • Arena

    Продукт не подвержен уязвимости Log4j CVE2021-44228.

    Обновлено 14 декабря 2021 года в 23:45

  • Atlas

    Устранено, 05:30 EST, пятница, 10 декабря 2021 года.
  • Arbortext

    https://www.ptc.com/en/support/article/CS358998

    Обновлено 15 декабря 2021 года в 09:45

  • Arbortext Content Delivery

    Продукт не подвержен уязвимости Log4j CVE-2021-44228. Анализ log4j 1.x выполняется.

    Обновлено 15 декабря 2021 года в 11:25

  • Arbortext IsoDraw

    Продукт не подвержен уязвимости Log4j CVE-2021-44228. См. статью CS358831 о влиянии, связанном с сервером лицензий Creo: https://www.ptc.com/en/support/article/CS358831

    Обновлено 16 декабря 2021 года в 15:00

  • Axeda

    https://www.ptc.com/en/support/article/CS358990

    Обновлено 14 декабря 2021 года в 23:45

  • CADDS5

    Продукт не подвержен уязвимости Log4j CVE-2021-44228. Анализ Log4j 1.x выполняется.

    Обновлено 14 декабря 2021 года в 23:45

  • Creo Direct

    https://www.ptc.com/en/support/article/CS358831

    Обновлено 15 декабря 2021 года в 16:49

  • Creo Elements Direct

    https://www.ptc.com/en/support/article/CS358965

    Обновлено 15 декабря 2021 года в 8:08

  • Creo Generative Design

    Продукт не подвержен уязвимости Log4j CVE-2021-44228. Дополнительных действий не требуется.

    Обновлено 15 декабря 2021 года в 8:08

  • Creo Illustrate

    Продукт не подвержен уязвимости Log4j CVE-2021-44228. См. статью CS358831 о влиянии, связанном с сервером лицензий Creo: https://www.ptc.com/en/support/article/CS358831

    Обновлено 16 декабря 2021 года в 15:00
  • Creo Layout

    https://www.ptc.com/en/support/article/CS358831

    Обновлено 15 декабря 2021 года в 16:49

  • Модуль Creo Parametric

    https://www.ptc.com/en/support/article/CS358831

    Обновлено 15 декабря 2021 года в 8:08

  • Creo Schematics

    https://www.ptc.com/en/support/article/CS358831

    Обновлено 15 декабря 2021 года в 8:08

  • Creo Simulate

    https://www.ptc.com/en/support/article/CS358831

    Обновлено 15 декабря 2021 года в 16:49

  • Creo View

    Продукт не подвержен уязвимости Log4j CVE-2021-44228. См. статью CS358831 о влиянии, связанном с сервером лицензий Creo: https://www.ptc.com/en/support/article/CS358831

    Обновлено 16 декабря 2021 года в 15:00
  • Creo View Adapters

    https://www.ptc.com/en/support/article/CS359116

    Обновлено 15 декабря 2021 года в 20:08

  • Empower

    Продукт не подвержен уязвимости Log4j CVE-2021-44228.

    Обновлено 16 декабря 2021 года в 15:50

  • iWarranty

    Warranty analytics (аналитика обслуживания) использует IBM Cognos. Дополнительные сведения см. в разделе Cognos ниже, под заголовком «Сторонние продукты/инструменты». Все другие модули не подвержены уязвимости Log4j CVE-2021-44228.

    Обновлено 17 декабря 2021 года в 09:11

  • Kepware

    https://www.ptc.com/en/support/article/CS358996

    Обновлено 15 декабря 2021 года в 8:45

  • Mathcad

    https://www.ptc.com/en/support/article/CS358831

    Обновлено 16 декабря 2021 года в 10:48

  • MKS Implementer

    Продукт не подвержен уязвимости Log4j CVE-2021-44228. Анализ Log4j 1.x выполняется.

    Обновлено 14 декабря 2021 года в 23:45

  • MKS Toolkit

    Продукт не подвержен уязвимости Log4j CVE-2021-44228. Анализ Log4j 1.x выполняется.

    Обновлено 14 декабря 2021 года в 23:45

  • Что такое цель-модель?

    Цели-модели распознают физические объекты по данным CAD и идеально подходят для отслеживания больших машин и автомобилей. Кроме того, для быстрого автоматического распознавания моделей с любого угла разработчики могут использовать методы глубокого обучения.
  • ObjectAda

    Продукт не подвержен уязвимости Log4j CVE2021-44228.

    Обновлено 15 декабря 2021 года в 20:08

  • Onshape

    Устранено, 09:30 EST, пятница, 10 декабря 2021 года.

    Обновлено 14 декабря 2021 года в 23:45

  • Optegra

    Продукт не подвержен уязвимости Log4j CVE-2021-44228. Анализ Log4j 1.x выполняется.

    Обновлено 14 декабря 2021 года в 23:45

  • Perc

    Продукт не подвержен уязвимости Log4j CVE2021-44228.

    Обновлено 14 декабря 2021 года в 23:45

  • PTC X/Server

    Продукт не подвержен уязвимости Log4j CVE2021-44228 1.x или 2.x.

    Обновлено 16 декабря 2021 года в 09:20

  • Service Knowledge Diagnostics (SKD)

    Продукт не подвержен уязвимости Log4j CVE2021-44228. Анализ Log4j 1.x выполняется.

    Обновлено 14 декабря 2021 года в 23:45

  • Servigistics

    https://www.ptc.com/en/support/article/CS358886

    Обновлено 14 декабря 2021 года в 23:45

  • TeleUSE

    Продукт не подвержен уязвимости Log4j CVE2021-44228.

    Обновлено 15 декабря 2021 года в 20:08

  • ThingWorx Analytics

    https://www.ptc.com/en/support/article/CS358901

    Обновлено 15 декабря 2021 года в 09:45

  • ThingWorx Navigate

    https://www.ptc.com/en/support/article/CS359107

    Обновлено 14 декабря 2021 года в 17:00

  • Платформа ThingWorx

    https://www.ptc.com/en/support/article/CS358901

    Обновлено 14 декабря 2021 года в 23:58

  • Vuforia Chalk

    Продукт не подвержен уязвимости Log4j CVE2021-44228.

    Обновлено 14 декабря 2021 года в 23:45

  • Vuforia Engine SDK

    Продукт не подвержен уязвимости Log4j CVE2021-44228.

    Обновлено 14 декабря 2021 года в 23:45

  • Vuforia Engine Server

    Устранено, 09:28 PST, пятница, 14 декабря 2021 года.

    Обновлено 16 декабря 2021 года в 12:56

  • Vuforia Expert Capture

    Продукт не подвержен уязвимости Log4j CVE2021-44228.

    Обновлено 14 декабря 2021 года в 23:45

  • Vuforia Instruct

    Продукт не подвержен уязвимости Log4j CVE2021-44228.

    Обновлено 14 декабря 2021 года в 23:45

  • Vuforia Studio

    Продукт не подвержен уязвимости Log4j CVE2021-44228.

    Обновлено 14 декабря 2021 года в 23:45

  • Webship и MOVE

    Продукт не подвержен уязвимости Log4j CVE2021-44228. Анализ Log4j 1.x выполняется.

    Обновлено 14 декабря 2021 года в 23:58

  • У меня остались вопросы.

    Дополнительные ответы на часто задаваемые вопросы о Vuforia Engine см. здесь. Если вы хотите обсудить свой вопрос со специалистом по AR, пожалуйста, свяжитесь с нами через эту форму.
  • Windchill Modeler

    Продукт не подвержен уязвимости Log4j CVE2021-44228.

    Обновлено 14 декабря 2021 года в 23:45

  • Windchill PLM и FlexPLM

    https://www.ptc.com/en/support/article/CS358789

    Обновлено 14 декабря 2021 года в 23:58

  • У меня остались вопросы.

    Дополнительные ответы на часто задаваемые вопросы о Vuforia Engine см. здесь. Если вы хотите обсудить свой вопрос со специалистом по AR, пожалуйста, свяжитесь с нами через эту форму.
  • Windchill Product Analytics

    Продукт не подвержен уязвимостям Log4j 2.x CVE-2021-44228 и CVE 2021-45046. Продукт не подвержен уязвимости Log4j 1.x CVE-2021-4041.

    Обновлено 16 декабря 2021 года в 14:59

  • У меня остались вопросы.

    Дополнительные ответы на часто задаваемые вопросы о Vuforia Engine см. здесь. Если вы хотите обсудить свой вопрос со специалистом по AR, пожалуйста, свяжитесь с нами через эту форму.
  • Windchill Risk and Reliability

    Продукт не подвержен уязвимости Log4j CVE2021-44228.

    Обновлено 14 декабря 2021 года в 23:45

  • Windchill RV&S

    https://www.ptc.com/en/support/article/CS358804

    Обновлено 14 декабря 2021 года в 23:58

  • X32Plus

    Продукт не подвержен уязвимости Log4j CVE2021-44228.

    Обновлено 15 декабря 2021 года в 20:08

PTC Cloud

Обновлено 16 декабря 2021 года. Пожалуйста, следите за этим оповещением для получения будущих обновлений.

В ответ на уязвимости безопасности Log4j, служба PTC Cloud полностью привержена применению всех формально рекомендованных действий для защиты от уязвимостей Apache Log4j 2 CVE-2021-44228 и CVE 2021-45046 по всем направлениям технологий, поддерживаемым в рамках нашей службы Cloud. В рамках этого обязательства мы полностью координируем действия с различными организациями НИОКР компании PTC. Соответствующим образом мы с упреждением и незамедлительно выполняем требуемые действия для максимальной защиты наших клиентов от угроз безопасности.  

Пожалуйста, обратите внимание, что мы продолжаем реагировать на ситуацию с Log4j, служба PTC Cloud будет действовать оперативно для выполнения этой задачи. Мы будем делать все возможное для предварительного информирования обо всех действиях, требующих остановки работы для обслуживания. Однако в некоторых случаях, поскольку нашим главным приоритетом является обеспечение защиты и безопасности, у нас может не быть возможности спланировать предварительное информирование. 

Мы будем предоставлять текущие новости на этом центральном форуме по мере необходимости. Рекомендуем вам постоянно следить за новостями с помощью этого средства обмена информацией.

В случае возникновения каких-либо дополнительных вопросов или сомнений, пожалуйста, отправляйте запросы на адрес cloudservicemanagement@ptc.com, и мы ответим на них как можно быстрее.  

 
  • Основные продукты PTC

      Servigistics
    • Служба PTC Cloud завершила применение всех рекомендованных исправлений Log4j 2.15 для всех клиентов, использующих программное обеспечение PTC Servigistics. На основании недавних и дополнительных рекомендаций мы также планируем применить исправление безопасности Log4j 2.16. Это мероприятие начнется в конце дня 16 декабря. Как и раньше, служба PTC Cloud объявит о плановом интервале времени обслуживания заранее, оно должно продлиться от 60 до 90 минут для каждого клиента. Это мероприятие планируется завершить 18 декабря.

      ThingWorx
    • Служба PTC Cloud координируется с отделами НИОКР и безопасности PTC по рекомендованным действиям. В настоящее время ожидается, что профилактическое обслуживание в связи с уязвимостями Log4j, касающимися ThingWorx Platform, начнется 16 декабря. По мере появления подробных планов мы сообщим соответствующий план действий.

      Windchill PLM и FlexPLM
    • В отношении версий программного обеспечения PTC, запускаемых на платформах PTC Cloud, уязвимость Log4j отсутствует. См. информацию в отношении сторонних приложений (Ping Federate, Cognos, Solr) ниже.

  • Сторонние продукты/инструменты в PTC Cloud

      Ping Federate
    • В качестве дополнительной предосторожности служба PTC Cloud применяет меры по устранению уязвимостей, чтобы обеспечить защиту от уязвимостей Log4j. Это мероприятие планируется выполнить с ограниченным временем простоя, и оно реализуется начиная с 14 декабря. Это мероприятие будет продолжаться в ускоренном темпе и должно быть завершено к 16 декабря.

      Cognos
    • В качестве дополнительной предосторожности служба PTC Cloud решила остановить доступ к приложению Cognos до будущего уведомления. Служба PTC Cloud решила остановить доступ к этому приложению незамедлительно и сознательно, без предварительного уведомления наших клиентов. Мы приносим искренние извинения за то, что у нас не было возможности уведомить вас предварительно; но мы приняли эту меру срочно для обеспечения вам высочайшего уровня защиты и безопасности. Компания PTC будет непрерывно следить за статусом и событиями, связанными с уязвимостями Log4j, и будет уведомлять вас о дальнейших действиях, когда мы получим дополнительные инструкции от наших отделов НИОКР и безопасности.

      Solr
    • В качестве дополнительной предосторожности служба PTC Cloud активно выполняет действия по устранению уязвимостей, чтобы обеспечить защиту от уязвимостей Log4j. Мы предполагаем, что время простоя службы индексации Solr будет ограничено, и работа этой службы должна быть полностью восстановлена для всех клиентов до конца рабочего дня 16 декабря. Мы при носим искренние извинения за то, что у нас не было возможности уведомить вас предварительно; но мы приняли эту меру срочно для обеспечения вам высочайшего уровня защиты и безопасности. Пожалуйста, обратите внимание на то, что хотя у клиентов может не быть доступа к службе Solr в течение короткого интервала времени, поиск по метаданным все равно будет доступен, и компания PTC рекомендует использовать эту функцию поиска по метаданным (например, по имени, номеру и любым другим атрибутам).

Рекомендованные исправления по сторонним продуктам/инструментам

Для продуктов, не указанных ниже, мы предоставим рекомендованные действия, когда будем готовы. Пожалуйста, следите за этим оповещением для получения будущих обновлений.

В случае необходимости связаться с PTC, посетите веб-сайт: www.ptc.com/support.