PTC 建議,對於 Apache Log4j 2 安全漏洞 CVE-2021-44228 和 CVE 2021-45046 的修復方法,可依照 Apache 所述的修復策略,移除 JNDILookup.class。PTC 在使用這項方法的整個測試過程中 (2021 年 12 月 10 日至 12 月 15 日),目前為止並沒有產生任何不良影響。測試時,PTC 並未在我們的產品中使用這種動態載入功能,因此此修復方法對於防堵漏洞應為有效,而且對我們的產品風險非常低。這次變更會產生的任何風險,僅限於應用程式的記錄子系統,而因變更所產生的任何錯誤,遠比漏洞暴露造成危害的嚴重性來得低很多。客戶可以先行修復漏洞,於此同時等待官方認證,以減少直接暴露在此重大問題下的機會。
PTC 提供以下修復文件,內容將一併說明 Log4j 2 嵌入第三方應用程式的位置,以及修復這些應用程式的方法。雖然 PTC 軟體不一定會使用 Log4j 2,但第三方元件有可能已經將其嵌入,所以應以類似方式加以修復。若有 PTC 軟體使用 Log4j 2,我們會以最新版本的 Log4j 2 製作修正檔並加以發佈。然而我們不建議客戶等到修正檔發佈後再做處理,請立即進行修復,儘早保護系統。舉凡客戶安裝的所有軟體,都可採取這項建議做法,包括開發和測試系統,以及如下所示的生產應用程式和部分桌面應用程式。
另一個修復方式是使用系統屬性來停用這項功能,但 PTC 決定不推薦這個方式。PTC 認為,這些做法雖然能透過應用程式適當地傳遞屬性,卻容易引發故障,更糟的是,未來修復流程可能會排除該應用程式,屆時系統就無法獲得充分的保護。這項做法也已從 2021 年 12 月 15 日起宣布無效,詳情請見以下公告欄:https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups
關於 2021 年 12 月 14 日發布,有關 Apache Log4j 1 的安全漏洞 CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667),PTC 目前正積極著手調查中,力求找出每項產品所需的修復做法。其中所提到的 JMSAppender 處理方法,會造成類似 Log4j 2 中的安全漏洞情況,讓攻擊者可以利用 JMS Broker 做為 JNDI/LDAP 攻擊向量。這項漏洞需要擁有系統管理層級的存取權來觸發,而這項功能預設為停用。因此,基於造成這個 CVE 漏洞所需的介入程度,其風險嚴重程度為中等風險。如果客戶已自行啟動並使用這項功能,也應考慮採取以下針對此 CVE 提供的修復步驟。如有最新消息,PTC 也會發佈更多有關此漏洞路徑的詳情。
以下若有未列出的產品,我們會在產品推出時提供建議做法。日後如有最新消息,歡迎再度參考這篇文章。
如需聯絡 PTC,請前往 www.ptc.com/support。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
https://www.ptc.com/en/support/article/CS358998
2021 年 12 月 15 日早上 9:45 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。log4j 1.x 分析正在進行中。
2021 年 12 月 15 日早上 11:25 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。如需瞭解對於 Creo 授權伺服器的相關影響,請參閱 CS358831:https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 16 日下午 3:00 更新。
https://www.ptc.com/en/support/article/CS358990
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日下午 4:49 更新。
https://www.ptc.com/en/support/article/CS358965
2021 年 12 月 15 日早上 8:08 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。不需採取進一步動作。
2021 年 12 月 15 日早上 8:08 更新。
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日下午 4:49 更新。
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日早上 8:08 更新。
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日早上 8:08 更新。
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日下午 4:49 更新。
https://www.ptc.com/en/support/article/CS359116
2021 年 12 月 15 日晚上 8:08 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。
2021 年 12 月 16 日下午 3:50 更新。
保固分析 (Service Intelligence) 使用 IBM Cognos。如需更多詳情,請參閱下方「第三方工具/產品」下的 Cognos 一節。所有其他模組皆不容易受到 Log4j CVE-2021-44228 漏洞影響。
2021 年 12 月 17 日早上 9:11 更新。
https://www.ptc.com/en/support/article/CS358996
2021 年 12 月 15 日早上 8:45 更新。
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 16 日早上 10:48 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
已解決:2021 年 12 月 10 日星期五早上 9:30 (美國東部標準時間)。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 1.x 或 2.x 安全漏洞的影響。
2021 年 12 月 16 日早上 9:20 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
https://www.ptc.com/en/support/article/CS358886
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
https://www.ptc.com/en/support/article/CS358901
2021 年 12 月 15 日早上 9:45 更新。
https://www.ptc.com/en/support/article/CS359107
2021 年 12 月 14 日下午 5:00 更新。
https://www.ptc.com/en/support/article/CS358901
2021 年 12 月 14 日晚上 11:58 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
已解決:2021 年 12 月 14 日星期五早上 9:28 (太平洋標準時間)。
2021 年 12 月 16 日中午 12:56 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:58 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
https://www.ptc.com/en/support/article/CS358789
2021 年 12 月 14 日晚上 11:58 更新。
不容易受到 Log4j 2.x CVE-2021-44228 與 CVE 2021-45046 漏洞影響。不容易受到 Log4j 1.x CVE-2021-4041 漏洞影響。
2021 年 12 月 16 日下午 2:59 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
https://www.ptc.com/en/support/article/CS358804
2021 年 12 月 14 日晚上 11:58 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
2021 年 12 月 16 日更新。日後如有最新消息,歡迎再度參考這篇文章。
PTC 雲端為了因應 Log4j 安全性漏洞,正全力採用所有正式建議的做法,期許在我們雲端服務中的所有技術向量,都能防堵 Apache Log4j 2 CVE-2021-44228 和 CVE 2021-45046 安全性漏洞問題。為了實現這份期許,我們會全力配合 PTC 各種研發組織的指示。在適當情況下,我們會主動採取必要做法,迅速防堵安全性威脅,讓客戶獲得最妥善的保護。
請注意,我們會持續針對 Log4j 問題做出應變,而 PTC 雲端服務將緊急因應以保安全。如有任何需要暫停維護的指示,我們會盡最大努力發出事前通知。不過,由於 PTC 的第一要務是提供保護和安全性,因此也可能會有無預警進行維護的情況。
我們會持續在這個集中通知討論區中,提供必要的最新消息。建議您利用這個通知管道,持續掌握最新情況。
如有任何其他問題或疑慮,請將問題寄至 cloudservicemanagement@ptc.com,我們會盡快回覆您的問題。
以下若有未列出的產品,我們會在產品推出時提供建議做法。日後如有最新消息,歡迎再度參考這篇文章。
如需聯絡 PTC,請前往 www.ptc.com/support。
https://www.ptc.com/en/support/article/CS359116
2021 年 12 月 15 日晚上 8:08 更新。
如需瞭解目前回報的影響有哪些,以及建議的修復做法,請參閱 IBM 發布的更新文章:對於 Apache Log4j CVE-2021-44228 安全漏洞的更新
為了解決緊急問題,Cognos 可能會關閉,直到確認更多細節為止。在問題解決之前,報告產生功能將會繼續停用。其他產品功能則一律維持正常。
2021 年 12 月 15 日晚上 8:08 更新。
https://www.dynatrace.com/news/blog/how-dynatrace-uses-dynatrace-to-combat-the-log4j-vulnerability
Updated: January 13, 2022
https://www.ptc.com/en/support/article/CS358902
2021 年 12 月 14 日晚上 11:58 更新。
如需瞭解對於 Apache Solr 的相關影響,以及建議的修復做法,請參閱 Apache Solr 發布的建議文章:受到 Apache Log4J CVE-2021-44228 漏洞影響的 Apache Solr
為了解決緊急問題,Solr 可能會關閉,直到確認更多細節為止。在問題解決之前,索引搜尋功能將會繼續停用。其他產品功能則一律維持正常。
2021 年 12 月 15 日晚上 8:08 更新。
如需瞭解 TIBCO 回報的影響有哪些,以及建議的修復做法,請參閱 TIBCO 發布的文章:TIBCO Log4j 相關漏洞每日更新
2021 年 12 月 15 日晚上 8:08 更新。
Selected Language Unavailable
This experience is not available in the language you selected.
Please either return to the previous page to continue in your selected language, or click “Proceed” below to view this experience in English.
此項目未提供英文版。