Log4j 安全性漏洞應變中心

請參考此處依 PTC 產品排列的 Log4j 安全性漏洞最新資訊 (Apache Log4j CVE-2021-44228)。

上次更新時間:2021 年 12 月 17 日早上 9:12

PTC 漏洞修復策略

PTC 建議,對於 Apache Log4j 2 安全漏洞 CVE-2021-44228 和 CVE 2021-45046 的修復方法,可依照 Apache 所述的修復策略,移除 JNDILookup.class。PTC 在使用這項方法的整個測試過程中 (2021 年 12 月 10 日至 12 月 15 日),目前為止並沒有產生任何不良影響。測試時,PTC 並未在我們的產品中使用這種動態載入功能,因此此修復方法對於防堵漏洞應為有效,而且對我們的產品風險非常低。這次變更會產生的任何風險,僅限於應用程式的記錄子系統,而因變更所產生的任何錯誤,遠比漏洞暴露造成危害的嚴重性來得低很多。客戶可以先行修復漏洞,於此同時等待官方認證,以減少直接暴露在此重大問題下的機會。

PTC 提供以下修復文件,內容將一併說明 Log4j 2 嵌入第三方應用程式的位置,以及修復這些應用程式的方法。雖然 PTC 軟體不一定會使用 Log4j 2,但第三方元件有可能已經將其嵌入,所以應以類似方式加以修復。若有 PTC 軟體使用 Log4j 2,我們會以最新版本的 Log4j 2 製作修正檔並加以發佈。然而我們不建議客戶等到修正檔發佈後再做處理,請立即進行修復,儘早保護系統。舉凡客戶安裝的所有軟體,都可採取這項建議做法,包括開發和測試系統,以及如下所示的生產應用程式和部分桌面應用程式。

另一個修復方式是使用系統屬性來停用這項功能,但 PTC 決定不推薦這個方式。PTC 認為,這些做法雖然能透過應用程式適當地傳遞屬性,卻容易引發故障,更糟的是,未來修復流程可能會排除該應用程式,屆時系統就無法獲得充分的保護。這項做法也已從 2021 年 12 月 15 日起宣布無效,詳情請見以下公告欄:https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups

關於 2021 年 12 月 14 日發布,有關 Apache Log4j 1 的安全漏洞 CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667),PTC 目前正積極著手調查中,力求找出每項產品所需的修復做法。其中所提到的 JMSAppender 處理方法,會造成類似 Log4j 2 中的安全漏洞情況,讓攻擊者可以利用 JMS Broker 做為 JNDI/LDAP 攻擊向量。這項漏洞需要擁有系統管理層級的存取權來觸發,而這項功能預設為停用。因此,基於造成這個 CVE 漏洞所需的介入程度,其風險嚴重程度為中等風險。如果客戶已自行啟動並使用這項功能,也應考慮採取以下針對此 CVE 提供的修復步驟。如有最新消息,PTC 也會發佈更多有關此漏洞路徑的詳情。

 

依核心產品排序的修復建議

以下若有未列出的產品,我們會在產品推出時提供建議做法。日後如有最新消息,歡迎再度參考這篇文章。

如需聯絡 PTC,請前往 www.ptc.com/support

  • AdaWorld

    未受到 Log4j CVE2021-44228 安全漏洞的影響。

    2021 年 12 月 15 日晚上 8:08 更新。

  • ApexAda

    未受到 Log4j CVE2021-44228 安全漏洞的影響。

    2021 年 12 月 15 日晚上 8:08 更新。

  • Arena

    未受到 Log4j CVE2021-44228 安全漏洞的影響。

    2021 年 12 月 14 日晚上 11:45 更新。

  • Atlas

    已解決:2021 年 12 月 10 日星期五早上 5:30 (美國東部標準時間)。

  • Arbortext

    https://www.ptc.com/en/support/article/CS358998

    2021 年 12 月 15 日早上 9:45 更新。

  • Arbortext Content Delivery

    未受到 Log4j CVE-2021-44228 安全漏洞的影響。log4j 1.x 分析正在進行中。

    2021 年 12 月 15 日早上 11:25 更新。

  • Arbortext IsoDraw

    未受到 Log4j CVE-2021-44228 安全漏洞的影響。如需瞭解對於 Creo 授權伺服器的相關影響,請參閱 CS358831:https://www.ptc.com/en/support/article/CS358831

    2021 年 12 月 16 日下午 3:00 更新。

  • Axeda

    https://www.ptc.com/en/support/article/CS358990

    2021 年 12 月 14 日晚上 11:45 更新。

  • CADDS5

    未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。

    2021 年 12 月 14 日晚上 11:45 更新。

  • Creo Direct

    https://www.ptc.com/en/support/article/CS358831

    2021 年 12 月 15 日下午 4:49 更新。

  • Creo Elements Direct

    https://www.ptc.com/en/support/article/CS358965

    2021 年 12 月 15 日早上 8:08 更新。

  • Creo 生成式設計

    未受到 Log4j CVE-2021-44228 安全漏洞的影響。不需採取進一步動作。

    2021 年 12 月 15 日早上 8:08 更新。

  • Creo Illustrate

    未受到 Log4j CVE-2021-44228 安全漏洞的影響。如需瞭解對於 Creo 授權伺服器的相關影響,請參閱 CS358831:https://www.ptc.com/en/support/article/CS358831

    2021 年 12 月 16 日下午 3:00 更新。

  • Creo Layout

    https://www.ptc.com/en/support/article/CS358831

    2021 年 12 月 15 日下午 4:49 更新。

  • Creo Parametric

    https://www.ptc.com/en/support/article/CS358831

    2021 年 12 月 15 日早上 8:08 更新。

  • Creo Schematics

    https://www.ptc.com/en/support/article/CS358831

    2021 年 12 月 15 日早上 8:08 更新。

  • Creo Simulate

    https://www.ptc.com/en/support/article/CS358831

    2021 年 12 月 15 日下午 4:49 更新。

  • Creo View

    未受到 Log4j CVE-2021-44228 安全漏洞的影響。如需瞭解對於 Creo 授權伺服器的相關影響,請參閱 CS358831:https://www.ptc.com/en/support/article/CS358831

    2021 年 12 月 16 日下午 3:00 更新。

  • Creo View Adapters

    https://www.ptc.com/en/support/article/CS359116

    2021 年 12 月 15 日晚上 8:08 更新。

  • 提高生產力

    未受到 Log4j CVE-2021-44228 安全漏洞的影響。

    2021 年 12 月 16 日下午 3:50 更新。

  • iWarranty

    保固分析 (Service Intelligence) 使用 IBM Cognos。如需更多詳情,請參閱下方「第三方工具/產品」下的 Cognos 一節。所有其他模組皆不容易受到 Log4j CVE-2021-44228 漏洞影響。

    2021 年 12 月 17 日早上 9:11 更新。

  • Kepware

    https://www.ptc.com/en/support/article/CS358996

    2021 年 12 月 15 日早上 8:45 更新。

  • Mathcad

    https://www.ptc.com/en/support/article/CS358831

    2021 年 12 月 16 日早上 10:48 更新。

  • MKS Implementer

    未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。

    2021 年 12 月 14 日晚上 11:45 更新。

  • MKS Toolkit

    未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。

    2021 年 12 月 14 日晚上 11:45 更新。

  • 什麼是模型目標?

    模型目標能讓客戶在大型物件上建立強大又精確的擴增實境體驗。模型目標不像其他追蹤技術採用掃描實體物件的方式,而是運用 3D CAD 來提供更精確的體驗。這項技術最適合用於大型機械、汽車或家電的應用程式。

  • ObjectAda

    未受到 Log4j CVE2021-44228 安全漏洞的影響。

    2021 年 12 月 15 日晚上 8:08 更新。

  • Onshape

    已解決:2021 年 12 月 10 日星期五早上 9:30 (美國東部標準時間)。

    2021 年 12 月 14 日晚上 11:45 更新。

  • Optegra

    未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。

    2021 年 12 月 14 日晚上 11:45 更新。

  • Perc

    未受到 Log4j CVE2021-44228 安全漏洞的影響。

    2021 年 12 月 14 日晚上 11:45 更新。

  • PTC X/Server

    未受到 Log4j CVE2021-44228 1.x 或 2.x 安全漏洞的影響。

    2021 年 12 月 16 日早上 9:20 更新。

  • 服務資訊診斷 (SKD)

    未受到 Log4j CVE2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。

    2021 年 12 月 14 日晚上 11:45 更新。

  • Servigistics

    https://www.ptc.com/en/support/article/CS358886

    2021 年 12 月 14 日晚上 11:45 更新。

  • TeleUSE

    未受到 Log4j CVE2021-44228 安全漏洞的影響。

    2021 年 12 月 15 日晚上 8:08 更新。

  • ThingWorx Analytics

    https://www.ptc.com/en/support/article/CS358901

    2021 年 12 月 15 日早上 9:45 更新。

  • ThingWorx Navigate

    https://www.ptc.com/en/support/article/CS359107

    2021 年 12 月 14 日下午 5:00 更新。

  • ThingWorx Platform

    https://www.ptc.com/en/support/article/CS358901

    2021 年 12 月 14 日晚上 11:58 更新。

  • Vuforia Chalk

    未受到 Log4j CVE2021-44228 安全漏洞的影響。

    2021 年 12 月 14 日晚上 11:45 更新。

  • Vuforia Engine SDK

    未受到 Log4j CVE2021-44228 安全漏洞的影響。

    2021 年 12 月 14 日晚上 11:45 更新。

  • Vuforia Engine Server

    已解決:2021 年 12 月 14 日星期五早上 9:28 (太平洋標準時間)。

    2021 年 12 月 16 日中午 12:56 更新。

  • Vuforia Expert Capture

    未受到 Log4j CVE2021-44228 安全漏洞的影響。

    2021 年 12 月 14 日晚上 11:45 更新。

  • Vuforia Instruct

    未受到 Log4j CVE2021-44228 安全漏洞的影響。

    2021 年 12 月 14 日晚上 11:45 更新。

  • Vuforia Studio

    未受到 Log4j CVE2021-44228 安全漏洞的影響。

    2021 年 12 月 14 日晚上 11:45 更新。

  • Webship and MOVE

    未受到 Log4j CVE2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。

    2021 年 12 月 14 日晚上 11:58 更新。

  • 我還有其他問題。

    按一下這裡閱讀關於 Vuforia Engine 的其他常見問題。如要與擴增實境專家討論您的問題,請填寫這份表單與我們聯絡

  • Windchill Modeler

    未受到 Log4j CVE2021-44228 安全漏洞的影響。

    2021 年 12 月 14 日晚上 11:45 更新。

  • Windchill PLM and FlexPLM

    https://www.ptc.com/en/support/article/CS358789

    2021 年 12 月 14 日晚上 11:58 更新。

  • 我還有其他問題。

    按一下這裡閱讀關於 Vuforia Engine 的其他常見問題。如要與擴增實境專家討論您的問題,請填寫這份表單與我們聯絡

  • Windchill Product Analytics

    不容易受到 Log4j 2.x CVE-2021-44228 與 CVE 2021-45046 漏洞影響。不容易受到 Log4j 1.x CVE-2021-4041 漏洞影響。

    2021 年 12 月 16 日下午 2:59 更新。

  • 我還有其他問題。

    按一下這裡閱讀關於 Vuforia Engine 的其他常見問題。如要與擴增實境專家討論您的問題,請填寫這份表單與我們聯絡

  • Windchill Risk and Reliability

    未受到 Log4j CVE2021-44228 安全漏洞的影響。

    2021 年 12 月 14 日晚上 11:45 更新。

  • Windchill RV&S

    https://www.ptc.com/en/support/article/CS358804

    2021 年 12 月 14 日晚上 11:58 更新。

  • X32Plus

    未受到 Log4j CVE2021-44228 安全漏洞的影響。

    2021 年 12 月 15 日晚上 8:08 更新。

PTC 雲端

2021 年 12 月 16 日更新。日後如有最新消息,歡迎再度參考這篇文章。

PTC 雲端為了因應 Log4j 安全性漏洞,正全力採用所有正式建議的做法,期許在我們雲端服務中的所有技術向量,都能防堵 Apache Log4j 2 CVE-2021-44228 和 CVE 2021-45046 安全性漏洞問題。為了實現這份期許,我們會全力配合 PTC 各種研發組織的指示。在適當情況下,我們會主動採取必要做法,迅速防堵安全性威脅,讓客戶獲得最妥善的保護。  

請注意,我們會持續針對 Log4j 問題做出應變,而 PTC 雲端服務將緊急因應以保安全。如有任何需要暫停維護的指示,我們會盡最大努力發出事前通知。不過,由於 PTC 的第一要務是提供保護和安全性,因此也可能會有無預警進行維護的情況。 

我們會持續在這個集中通知討論區中,提供必要的最新消息。建議您利用這個通知管道,持續掌握最新情況。

如有任何其他問題或疑慮,請將問題寄至 cloudservicemanagement@ptc.com,我們會盡快回覆您的問題。  

 

  • PTC 核心產品

      Servigistics
    • PTC 雲端對於所有運作中的 PTC Servigistics 軟體,均已採用所有建議且適用的 Log4j 2.15 維護修補程式。有鑑於近期指示等其他建議,我們預計採用 Log4j 2.16 安全維護修補程式。12 月 16 日以前將會開始執行安全維護修補程式。PTC 雲端也會依詢先前模式宣布目標維護期間,每位客戶預計需要 60 到 90 分鐘的時間。維護作業預估於 12 月 18 日以前完成。

      ThingWorx
    • PTC 雲端會配合 PTC R&D 及安全團隊的建議動作採取行動。而有關 ThingWorx Platform 的 Log4j 漏洞預防性維護措施,目前預計將於 12 月 16 日開始,詳細的方案也會逐步釋出,同時根據方案內容發出通知。

      Windchill PLM and FlexPLM
    • 以 PTC 雲端平台上運作的 PTC 軟體版本為根據,並沒有出現 Log4j 漏洞。請參閱第三方應用程式的相關資訊 (以下的 Ping Federate、Cognos、Solr)。

  • PTC 雲端第三方產品/工具

      Ping Federate
    • 為了謹慎考量,PTC 雲端正著手進行修復措施,以此提供防範 Log4j 漏洞的保護功能。自 12 月 14 日開始,將會暫時停機並導入修復措施,然後加速進行並持續到 12 月 16 日完成。

      Cognos
    • 為了謹慎考量,PTC 雲端決定停止 Cognos 的存取權,直到有進一步通知為止。PTC 雲端決定在客戶知情的情況下,立即停止這個應用程式的存取權,恕不事前通知。對於無法主動通知您,我們深感抱歉;不過我們會迅速執行完畢,為您提供最高水準的保護和安全性。PTC 將持續監控與 Log4j 漏洞相關的狀態和事件,如果我們的研發和安全團隊有什麼指示,也會立即發出通知。

      Solr
    • 為了謹慎考量,PTC 雲端會主動執行修復措施,以此提供防範 Log4j 漏洞的保護功能。Solr 索引服務預計會暫時停止運作,並於 12 月 16 日營業日截止以前,讓所有客戶全面恢復服務。對於無法主動通知您,我們深感抱歉;不過我們會迅速執行完畢,為您提供最高水準的保護和安全性。請注意,客戶可能會在短時間內無法使用 Solr,不過中繼資料搜尋的功能依然不受影響,因此 PTC 建議客戶使用中繼資料來執行搜尋 (例如,名稱、編號或任何其他屬性)。

依第三方產品/工具排序的修復建議

以下若有未列出的產品,我們會在產品推出時提供建議做法。日後如有最新消息,歡迎再度參考這篇文章。

如需聯絡 PTC,請前往 www.ptc.com/support