PTC 建議,對於 Apache Log4j 2 安全漏洞 CVE-2021-44228 和 CVE 2021-45046 的修復方法,可依照 Apache 所述的修復策略,移除 JNDILookup.class。PTC 在使用這項方法的整個測試過程中 (2021 年 12 月 10 日至 12 月 15 日),目前為止並沒有產生任何不良影響。測試時,PTC 並未在我們的產品中使用這種動態載入功能,因此此修復方法對於防堵漏洞應為有效,而且對我們的產品風險非常低。這次變更會產生的任何風險,僅限於應用程式的記錄子系統,而因變更所產生的任何錯誤,遠比漏洞暴露造成危害的嚴重性來得低很多。客戶可以先行修復漏洞,於此同時等待官方認證,以減少直接暴露在此重大問題下的機會。
PTC 提供以下修復文件,內容將一併說明 Log4j 2 嵌入第三方應用程式的位置,以及修復這些應用程式的方法。雖然 PTC 軟體不一定會使用 Log4j 2,但第三方元件有可能已經將其嵌入,所以應以類似方式加以修復。若有 PTC 軟體使用 Log4j 2,我們會以最新版本的 Log4j 2 製作修正檔並加以發佈。然而我們不建議客戶等到修正檔發佈後再做處理,請立即進行修復,儘早保護系統。舉凡客戶安裝的所有軟體,都可採取這項建議做法,包括開發和測試系統,以及如下所示的生產應用程式和部分桌面應用程式。
另一個修復方式是使用系統屬性來停用這項功能,但 PTC 決定不推薦這個方式。PTC 認為,這些做法雖然能透過應用程式適當地傳遞屬性,卻容易引發故障,更糟的是,未來修復流程可能會排除該應用程式,屆時系統就無法獲得充分的保護。這項做法也已從 2021 年 12 月 15 日起宣布無效,詳情請見以下公告欄:https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#option-2-enable-formatmsgnolookups
關於 2021 年 12 月 14 日發布,有關 Apache Log4j 1 的安全漏洞 CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667),PTC 目前正積極著手調查中,力求找出每項產品所需的修復做法。其中所提到的 JMSAppender 處理方法,會造成類似 Log4j 2 中的安全漏洞情況,讓攻擊者可以利用 JMS Broker 做為 JNDI/LDAP 攻擊向量。這項漏洞需要擁有系統管理層級的存取權來觸發,而這項功能預設為停用。因此,基於造成這個 CVE 漏洞所需的介入程度,其風險嚴重程度為中等風險。如果客戶已自行啟動並使用這項功能,也應考慮採取以下針對此 CVE 提供的修復步驟。如有最新消息,PTC 也會發佈更多有關此漏洞路徑的詳情。
以下若有未列出的產品,我們會在產品推出時提供建議做法。日後如有最新消息,歡迎再度參考這篇文章。
如需聯絡 PTC,請前往 www.ptc.com/support。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
https://www.ptc.com/en/support/article/CS358998
2021 年 12 月 15 日早上 9:45 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。log4j 1.x 分析正在進行中。
2021 年 12 月 15 日早上 11:25 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。如需瞭解對於 Creo 授權伺服器的相關影響,請參閱 CS358831:https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 16 日下午 3:00 更新。
https://www.ptc.com/en/support/article/CS358990
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日下午 4:49 更新。
https://www.ptc.com/en/support/article/CS358965
2021 年 12 月 15 日早上 8:08 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。不需採取進一步動作。
2021 年 12 月 15 日早上 8:08 更新。
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日下午 4:49 更新。
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日早上 8:08 更新。
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日早上 8:08 更新。
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 15 日下午 4:49 更新。
https://www.ptc.com/en/support/article/CS359116
2021 年 12 月 15 日晚上 8:08 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。
2021 年 12 月 16 日下午 3:50 更新。
保固分析 (Service Intelligence) 使用 IBM Cognos。如需更多詳情,請參閱下方「第三方工具/產品」下的 Cognos 一節。所有其他模組皆不容易受到 Log4j CVE-2021-44228 漏洞影響。
2021 年 12 月 17 日早上 9:11 更新。
https://www.ptc.com/en/support/article/CS358996
2021 年 12 月 15 日早上 8:45 更新。
https://www.ptc.com/en/support/article/CS358831
2021 年 12 月 16 日早上 10:48 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
已解決:2021 年 12 月 10 日星期五早上 9:30 (美國東部標準時間)。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE-2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 1.x 或 2.x 安全漏洞的影響。
2021 年 12 月 16 日早上 9:20 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:45 更新。
https://www.ptc.com/en/support/article/CS358886
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
https://www.ptc.com/en/support/article/CS358901
2021 年 12 月 15 日早上 9:45 更新。
https://www.ptc.com/en/support/article/CS358901
2021 年 12 月 14 日晚上 11:58 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
已解決:2021 年 12 月 14 日星期五早上 9:28 (太平洋標準時間)。
2021 年 12 月 16 日中午 12:56 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。Log4j 1.x 分析正在進行中。
2021 年 12 月 14 日晚上 11:58 更新。
https://www.ptc.com/en/support/article/CS359107
2021 年 12 月 14 日下午 5:00 更新。
https://www.ptc.com/en/support/article/CS358789
2021 年 12 月 14 日晚上 11:58 更新。
不容易受到 Log4j 2.x CVE-2021-44228 與 CVE 2021-45046 漏洞影響。不容易受到 Log4j 1.x CVE-2021-4041 漏洞影響。
2021 年 12 月 16 日下午 2:59 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 14 日晚上 11:45 更新。
https://www.ptc.com/en/support/article/CS358804
2021 年 12 月 14 日晚上 11:58 更新。
未受到 Log4j CVE2021-44228 安全漏洞的影響。
2021 年 12 月 15 日晚上 8:08 更新。
2021 年 12 月 16 日更新。日後如有最新消息,歡迎再度參考這篇文章。
PTC 雲端為了因應 Log4j 安全性漏洞,正全力採用所有正式建議的做法,期許在我們雲端服務中的所有技術向量,都能防堵 Apache Log4j 2 CVE-2021-44228 和 CVE 2021-45046 安全性漏洞問題。為了實現這份期許,我們會全力配合 PTC 各種研發組織的指示。在適當情況下,我們會主動採取必要做法,迅速防堵安全性威脅,讓客戶獲得最妥善的保護。
請注意,我們會持續針對 Log4j 問題做出應變,而 PTC 雲端服務將緊急因應以保安全。如有任何需要暫停維護的指示,我們會盡最大努力發出事前通知。不過,由於 PTC 的第一要務是提供保護和安全性,因此也可能會有無預警進行維護的情況。
我們會持續在這個集中通知討論區中,提供必要的最新消息。建議您利用這個通知管道,持續掌握最新情況。
如有任何其他問題或疑慮,請將問題寄至 cloudservicemanagement@ptc.com,我們會盡快回覆您的問題。
以下若有未列出的產品,我們會在產品推出時提供建議做法。日後如有最新消息,歡迎再度參考這篇文章。
如需聯絡 PTC,請前往 www.ptc.com/support。
https://www.ptc.com/en/support/article/CS359116
2021 年 12 月 15 日晚上 8:08 更新。
如需瞭解目前回報的影響有哪些,以及建議的修復做法,請參閱 IBM 發布的更新文章:對於 Apache Log4j CVE-2021-44228 安全漏洞的更新
為了解決緊急問題,Cognos 可能會關閉,直到確認更多細節為止。在問題解決之前,報告產生功能將會繼續停用。其他產品功能則一律維持正常。
2021 年 12 月 15 日晚上 8:08 更新。
https://www.dynatrace.com/news/blog/how-dynatrace-uses-dynatrace-to-combat-the-log4j-vulnerability
Updated: January 13, 2022
https://www.ptc.com/en/support/article/CS358902
2021 年 12 月 14 日晚上 11:58 更新。
如需瞭解對於 Apache Solr 的相關影響,以及建議的修復做法,請參閱 Apache Solr 發布的建議文章:受到 Apache Log4J CVE-2021-44228 漏洞影響的 Apache Solr
為了解決緊急問題,Solr 可能會關閉,直到確認更多細節為止。在問題解決之前,索引搜尋功能將會繼續停用。其他產品功能則一律維持正常。
2021 年 12 月 15 日晚上 8:08 更新。
如需瞭解 TIBCO 回報的影響有哪些,以及建議的修復做法,請參閱 TIBCO 發布的文章:TIBCO Log4j 相關漏洞每日更新
2021 年 12 月 15 日晚上 8:08 更新。
所選的語言未提供
此項目未提供英文版。