PTC 漏洞修復策略
PTC 建議,對於 Apache Log4j 2 安全漏洞 CVE-2021-44228 和 CVE 2021-45046 的修復方法,可依照 Apache 所述的修復策略,移除 JNDILookup.class。PTC 在使用這項方法的整個測試過程中 (2021 年 12 月 10 日至 12 月 15 日),目前為止並沒有產生任何不良影響。測試時,PTC 並未在我們的產品中使用這種動態載入功能,因此此修復方法對於防堵漏洞應為有效,而且對我們的產品風險非常低。這次變更會產生的任何風險,僅限於應用程式的記錄子系統,而因變更所產生的任何錯誤,遠比漏洞暴露造成危害的嚴重性來得低很多。客戶可以先行修復漏洞,於此同時等待官方認證,以減少直接暴露在此重大問題下的機會。
PTC 提供以下修復文件,內容將一併說明 Log4j 2 嵌入第三方應用程式的位置,以及修復這些應用程式的方法。雖然 PTC 軟體不一定會使用 Log4j 2,但第三方元件有可能已經將其嵌入,所以應以類似方式加以修復。若有 PTC 軟體使用 Log4j 2,我們會以最新版本的 Log4j 2 製作修正檔並加以發佈。然而我們不建議客戶等到修正檔發佈後再做處理,請立即進行修復,儘早保護系統。舉凡客戶安裝的所有軟體,都可採取這項建議做法,包括開發和測試系統,以及如下所示的生產應用程式和部分桌面應用程式。
另一個修復方式是使用系統屬性來停用這項功能,但 PTC 決定不推薦這個方式。PTC 認為,這些做法雖然能透過應用程式適當地傳遞屬性,卻容易引發故障,更糟的是,未來修復流程可能會排除該應用程式,屆時系統就無法獲得充分的保護。這項做法也已從 2021 年 12 月 15 日起宣布無效,詳情請見以下公告欄.
關於 2021 年 12 月 14 日發布,有關 Apache Log4j 1 的安全漏洞 CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667),PTC 目前正積極著手調查中,力求找出每項產品所需的修復做法。其中所提到的 JMSAppender 處理方法,會造成類似 Log4j 2 中的安全漏洞情況,讓攻擊者可以利用 JMS Broker 做為 JNDI/LDAP 攻擊向量。這項漏洞需要擁有系統管理層級的存取權來觸發,而這項功能預設為停用。因此,基於造成這個 CVE 漏洞所需的介入程度,其風險嚴重程度為中等風險。如果客戶已自行啟動並使用這項功能,也應考慮採取以下針對此 CVE 提供的修復步驟。如有最新消息,PTC 也會發佈更多有關此漏洞路徑的詳情。
依核心產品排序的修復建議
以下若有未列出的產品,我們會在產品推出時提供建議做法。日後如有最新消息,歡迎再度參考這篇文章。
如需聯絡 PTC,請前往 www.ptc.com/support。
AdaWorld
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
ApexAda
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
Arena
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
Atlas
已解決:2021 年 12 月 10 日星期五早上 5:30 (美國東部標準時間)。
Arbortext
https://www.ptc.com/en/support/article/CS358998
2021 年 12 月 15 日早上 9:45 更新。
Arbortext Content Delivery
未受到 Log4j CVE-2021-44228 安全漏洞的影響。log4j 1.x 分析正在進行中。
2021 年 12 月 15 日早上 11:25 更新。
Arbortext IsoDraw
未受到 Log4j CVE-2021-44228 安全漏洞的影響。如需瞭解對於 Creo 授權伺服器的相關影響,請參閱 CS358831:https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 16 日下午 3:00 更新。
Axeda
https://www.ptc.com/en/support/article/CS358990
2021 年 12 月 14 日晚上 11:45 更新。
CADDS5
未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
Creo Direct
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日下午 4:49 更新。
Creo Elements Direct
https://www.ptc.com/en/support/article/CS358965
2021 年 12 月 15 日早上 8:08 更新。
Creo 生成式設計
未受到 Log4j CVE-2021-44228 安全漏洞的影響。不需採取進一步動作。
2021 年 12 月 15 日早上 8:08 更新。
Creo Illustrate
未受到 Log4j CVE-2021-44228 安全漏洞的影響。如需瞭解對於 Creo 授權伺服器的相關影響,請參閱 CS358831:https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 16 日下午 3:00 更新。
Creo Layout
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日下午 4:49 更新。
Creo Parametric
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日早上 8:08 更新。
Creo Schematics
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日早上 8:08 更新。
Creo Simulate
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日下午 4:49 更新。
Creo View
未受到 Log4j CVE-2021-44228 安全漏洞的影響。如需瞭解對於 Creo 授權伺服器的相關影響,請參閱 CS358831:https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 16 日下午 3:00 更新。
Creo View Adapters
https://www.ptc.com/en/support/article/CS359116
2021 年 12 月 15 日晚上 8:08 更新。
提高生產力
未受到 Log4j CVE-2021-44228 安全漏洞的影響。
2021 年 12 月 16 日下午 3:50 更新。
iWarranty
保固分析 (Service Intelligence) 使用 IBM Cognos。如需更多詳情,請參閱下方「第三方工具/產品」下的 Cognos 一節。所有其他模組皆不容易受到 Log4j CVE-2021-44228 漏洞影響。
2021 年 12 月 17 日早上 9:11 更新。
Kepware
https://www.ptc.com/en/support/article/CS358996
2021 年 12 月 15 日早上 8:45 更新。
Mathcad
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 16 日早上 10:48 更新。
MKS Implementer
未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
MKS Toolkit
未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
什麼是模型目標?
模型目標能讓客戶在大型物件上建立強大又精確的擴增實境體驗。模型目標不像其他追蹤技術採用掃描實體物件的方式,而是運用 3D CAD 來提供更精確的體驗。這項技術最適合用於大型機械、汽車或家電的應用程式。
ObjectAda
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
Onshape
已解決:2021 年 12 月 10 日星期五早上 9:30 (美國東部標準時間)。
2021 年 12 月 14 日晚上 11:45 更新。
Optegra
未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
Perc
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
PTC Modeler
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
PTC X/Server
未受到 Log4j CVE2021-44228 1.x 或 2.x 安全漏洞的影響。
2021 年 12 月 16 日早上 9:20 更新。
服務資訊診斷 (SKD)
未受到 Log4j CVE2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
Servigistics
https://www.ptc.com/en/support/article/CS358886
2021 年 12 月 14 日晚上 11:45 更新。
TeleUSE
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
ThingWorx Analytics
https://www.ptc.com/en/support/article/CS358901
2021 年 12 月 15 日早上 9:45 更新。
ThingWorx Platform
https://www.ptc.com/en/support/article/CS358901
2021 年 12 月 14 日晚上 11:58 更新。
Vuforia Chalk
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
Vuforia Engine SDK
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
Vuforia Engine Server
已解決:2021 年 12 月 14 日星期五早上 9:28 (太平洋標準時間)。
2021 年 12 月 16 日中午 12:56 更新。
Vuforia Expert Capture
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
Vuforia Instruct
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
Vuforia Studio
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
Webship and MOVE
未受到 Log4j CVE2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:58 更新。
我還有其他問題。
請按一下這裡閱讀關於 Vuforia Engine 的其他常見問題。如要與擴增實境專家討論您的問題,請填寫這份表單與我們聯絡。
Windchill Navigate
https://www.ptc.com/en/support/article/CS359107
2021 年 12 月 14 日下午 5:00 更新。
Windchill PLM and FlexPLM
https://www.ptc.com/en/support/article/CS358789
2021 年 12 月 14 日晚上 11:58 更新。
我還有其他問題。
請按一下這裡閱讀關於 Vuforia Engine 的其他常見問題。如要與擴增實境專家討論您的問題,請填寫這份表單與我們聯絡。
Windchill Product Analytics
不容易受到 Log4j 2.x CVE-2021-44228 與 CVE 2021-45046 漏洞影響。不容易受到 Log4j 1.x CVE-2021-4041 漏洞影響。
2021 年 12 月 16 日下午 2:59 更新。
我還有其他問題。
請按一下這裡閱讀關於 Vuforia Engine 的其他常見問題。如要與擴增實境專家討論您的問題,請填寫這份表單與我們聯絡。
Windchill Risk and Reliability
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
Windchill RV&S
https://www.ptc.com/en/support/article/CS358804
2021 年 12 月 14 日晚上 11:58 更新。
X32Plus
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
PTC 雲端
2021 年 12 月 16 日更新。日後如有最新消息,歡迎再度參考這篇文章。
PTC 雲端為了因應 Log4j 安全性漏洞,正全力採用所有正式建議的做法,期許在我們雲端服務中的所有技術向量,都能防堵 Apache Log4j 2 CVE-2021-44228 和 CVE 2021-45046 安全性漏洞問題。為了實現這份期許,我們會全力配合 PTC 各種研發組織的指示。在適當情況下,我們會主動採取必要做法,迅速防堵安全性威脅,讓客戶獲得最妥善的保護。
請注意,我們會持續針對 Log4j 問題做出應變,而 PTC 雲端服務將緊急因應以保安全。如有任何需要暫停維護的指示,我們會盡最大努力發出事前通知。不過,由於 PTC 的第一要務是提供保護和安全性,因此也可能會有無預警進行維護的情況。
我們會持續在這個集中通知討論區中,提供必要的最新消息。建議您利用這個通知管道,持續掌握最新情況。
如有任何其他問題或疑慮,請將問題寄至 [email protected],我們會盡快回覆您的問題。
PTC 核心產品
- Servigistics
- PTC 雲端對於所有運作中的 PTC Servigistics 軟體,均已採用所有建議且適用的 Log4j 2.15 維護修補程式。有鑑於近期指示等其他建議,我們預計採用 Log4j 2.16 安全維護修補程式。12 月 16 日以前將會開始執行安全維護修補程式。PTC 雲端也會依詢先前模式宣布目標維護期間,每位客戶預計需要 60 到 90 分鐘的時間。維護作業預估於 12 月 18 日以前完成。
- ThingWorx
- PTC 雲端會配合 PTC R&D 及安全團隊的建議動作採取行動。而有關 ThingWorx Platform 的 Log4j 漏洞預防性維護措施,目前預計將於 12 月 16 日開始,詳細的方案也會逐步釋出,同時根據方案內容發出通知。
- Windchill PLM and FlexPLM
- 以 PTC 雲端平台上運作的 PTC 軟體版本為根據,並沒有出現 Log4j 漏洞。請參閱第三方應用程式的相關資訊 (以下的 Ping Federate、Cognos、Solr)。
PTC 雲端第三方產品/工具
- Ping Federate
- 為了謹慎考量,PTC 雲端正著手進行修復措施,以此提供防範 Log4j 漏洞的保護功能。自 12 月 14 日開始,將會暫時停機並導入修復措施,然後加速進行並持續到 12 月 16 日完成。
- Cognos
- 為了謹慎考量,PTC 雲端決定停止 Cognos 的存取權,直到有進一步通知為止。PTC 雲端決定在客戶知情的情況下,立即停止這個應用程式的存取權,恕不事前通知。對於無法主動通知您,我們深感抱歉;不過我們會迅速執行完畢,為您提供最高水準的保護和安全性。PTC 將持續監控與 Log4j 漏洞相關的狀態和事件,如果我們的研發和安全團隊有什麼指示,也會立即發出通知。
- Solr
- 為了謹慎考量,PTC 雲端會主動執行修復措施,以此提供防範 Log4j 漏洞的保護功能。Solr 索引服務預計會暫時停止運作,並於 12 月 16 日營業日截止以前,讓所有客戶全面恢復服務。對於無法主動通知您,我們深感抱歉;不過我們會迅速執行完畢,為您提供最高水準的保護和安全性。請注意,客戶可能會在短時間內無法使用 Solr,不過中繼資料搜尋的功能依然不受影響,因此 PTC 建議客戶使用中繼資料來執行搜尋 (例如,名稱、編號或任何其他屬性)。
依第三方產品/工具排序的修復建議
以下若有未列出的產品,我們會在產品推出時提供建議做法。日後如有最新消息,歡迎再度參考這篇文章。
如需聯絡 PTC,請前往 www.ptc.com/support。
Adobe Experience Manager (AEM)
https://www.ptc.com/en/support/article/CS359116
2021 年 12 月 15 日晚上 8:08 更新。
Cognos
如需瞭解目前回報的影響有哪些,以及建議的修復做法,請參閱 IBM 發布的更新文章:對於 Apache Log4j CVE-2021-44228 安全漏洞的更新
為了解決緊急問題,Cognos 可能會關閉,直到確認更多細節為止。在問題解決之前,報告產生功能將會繼續停用。其他產品功能則一律維持正常。
- Windchill 與 Cognos:https://www.ptc.com/en/support/article/CS359007
2021 年 12 月 15 日晚上 8:08 更新。
Performance Advisor (Dynatrace App Mon)
https://www.dynatrace.com/news/blog/how-dynatrace-uses-dynatrace-to-combat-the-log4j-vulnerability
Updated: January 13, 2022
Ping Federate
https://www.ptc.com/en/support/article/CS358902
2021 年 12 月 14 日晚上 11:58 更新。
Solr
如需瞭解對於 Apache Solr 的相關影響,以及建議的修復做法,請參閱 Apache Solr 發布的建議文章:受到 Apache Log4J CVE-2021-44228 漏洞影響的 Apache Solr
為了解決緊急問題,Solr 可能會關閉,直到確認更多細節為止。在問題解決之前,索引搜尋功能將會繼續停用。其他產品功能則一律維持正常。
- Windchill 與 Solr:https://www.ptc.com/en/support/article/CS359011
2021 年 12 月 15 日晚上 8:08 更新。
TIBCO
如需瞭解 TIBCO 回報的影響有哪些,以及建議的修復做法,請參閱 TIBCO 發布的文章.
- Windchill and TIBCO:https://www.ptc.com/en/support/article/CS359008
2021 年 12 月 15 日晚上 8:08 更新。