Korrekturstrategie von PTC
Als Abhilfe für die Sicherheitslücken CVE-2021-44228 und CVE-2021-45046 für Apache Log4j 2 empfiehlt PTC, JNDILookup.class zu entfernen, wie in den Korrekturmaßnahmen von Apache beschrieben. Diese Vorgehensweise hat bei den bisherigen Tests (10. bis 15. Dezember 2021) von PTC keine unerwünschten Wirkungen gezeigt. PTC hat die dynamische Ladefunktion in seinen Produkten nicht verwendet. Die Korrekturmaßnahme sollte die Sicherheitslücke effektiv beseitigen und für die Produkte von PTC kaum Risiken bergen. Ein Risiko dieser Änderung betrifft das Protokollierungs-Teilsystem von Applikationen. Etwa daraus resultierende Fehler sind jedoch erheblich weniger gravierend als die Sicherheitslücke selbst. Kunden können die Korrekturmaßnahme zur Behebung der Sicherheitslücke durchführen, noch ehe die offizielle Zertifizierung vorliegt, um die Gefährdung durch dieses kritische Problem unmittelbar zu reduzieren.
In der folgenden Korrekturdokumentation gehen wir auch darauf ein, wo Log4j 2 in Drittanbieter-Anwendungen eingebettet ist und wie diese Fälle zu beheben sind. Auch wenn PTC Software Log4j 2 nicht verwendet, ist es durchaus möglich, dass die Bibliothek in diese Drittanbieter-Komponenten eingebettet ist. Diese sollten daher ebenfalls korrigiert werden. In Fällen, in denen PTC Log4j 2 nutzt, werden wir Patch-Versionen mit den aktualisierten Log4j 2-Versionen herstellen. Kunden sollten allerdings nicht auf diese warten, sondern sofort tätig werden, um ihre Systeme zu schützen. Die Empfehlung gilt für alle Installationen unserer Kunden, inklusive Entwicklungs- und Testsystemen sowie Produktions- und einigen Desktop-Applikationen, wie unten angegeben.
PTC hat sich dagegen entschieden, eine alternative Korrekturoption zur Deaktivierung der Funktion mithilfe von Systemeigenschaften zu empfehlen. Unserer Meinung nach besteht dabei die Gefahr, dass die Eigenschaften durch die Anwendungen nicht ordnungsgemäß weitergegeben werden. Schlimmer noch könnte es in Zukunft zu einem Ausschluss kommen, sodass Ihre Systeme nicht angemessen geschützt wären.
Bezüglich der Sicherheitslücke CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) für Apache Log4j 1.x, veröffentlicht am 14. Dezember 2021, untersucht PTC für jedes Produkt aktiv alle notwendigen Korrekturschritte. Die beschriebene JMSAppender-Methode führt zu einem Szenario wie die Sicherheitslücke in Log4j 2, in dem ein Angreifer einen JMS-Broker anstelle eines JNDI/LDAP-Angriffsvektors nutzen kann. Diese Schwachstelle erfordert Administratorzugriff auf das System, um diese Funktion zu aktivieren, die standardmäßig deaktiviert ist. Aufgrund des notwendigen Eingriffs zum Aktivieren wird diese Sicherheitslücke als mittleres Risiko eingestuft. Kunden sollten die Korrekturmaßnahmen für diese Sicherheitslücke berücksichtigen, wenn sie die Funktion für sich selbst aktiviert haben. PTC wird weitere Informationen zu dieser Schwachstelle bereitstellen, sobald diese verfügbar sind.
Empfohlene Korrektur nach Hauptprodukt
Für Produkte, die nicht unten aufgeführt sind, werden wir empfohlene Vorgehensweisen bereitstellen, sobald diese zur Verfügung stehen. Auf dieser Seite veröffentlichen wir künftig aktuelle Informationen.
Wenn Sie PTC kontaktieren möchten, besuchen Sie folgende Seite: www.ptc.com/support.
AdaWorld
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
ApexAda
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
Arena
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Atlas
Gelöst, Freitag, 10. Dezember 2021, 5:30 Uhr (EST).
Arbortext
https://www.ptc.com/en/support/article/CS358998
Aktualisiert: 15. Dezember 2021 um 9:45 Uhr
Arbortext Content Delivery
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von log4j 1.x läuft.
Aktualisiert: 15. Dezember 2021 um 11:25 Uhr
Arbortext IsoDraw
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Informationen zu den Auswirkungen auf den Creo License Server finden Sie in CS358831: https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 16. Dezember 2021 um 15:00 Uhr
Axeda
https://www.ptc.com/en/support/article/CS358990
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
CADDS5
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Creo Direct
https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 15. Dezember 2021 um 16:49 Uhr
Creo Elements/Direct
https://www.ptc.com/en/support/article/CS358965
Aktualisiert: 15. Dezember 2021 um 8:08 Uhr
Creo Generative Design
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Keine weitere Aktion erforderlich.
Aktualisiert: 15. Dezember 2021 um 8:08 Uhr
Creo Illustrate
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Informationen zu den Auswirkungen auf den Creo License Server finden Sie in CS358831: https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 16. Dezember 2021 um 15:00 Uhr.
Creo Layout
https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 15. Dezember 2021 um 16:49 Uhr
Creo Parametric
https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 15. Dezember 2021 um 8:08 Uhr
Creo Schematics
https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 15. Dezember 2021 um 8:08 Uhr
Creo Simulate
https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 15. Dezember 2021 um 16:49 Uhr
Creo View
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Informationen zu den Auswirkungen auf den Creo License Server finden Sie in CS358831: https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 16. Dezember 2021 um 15:00 Uhr.
Creo View Adapters
https://www.ptc.com/en/support/article/CS359116
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
Empower
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 16. Dezember 2021 um 15:50 Uhr
iWarranty
Warranty Analytics (Service Intelligence) nutzt IBM Cognos. Bitte beachten Sie die Informationen im Abschnitt „Cognos“ unter „Drittanbieter-Produkte/-Tools“. Alle anderen Module sind nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 17. Dezember 2021 um 9:11 Uhr
Kepware
https://www.ptc.com/en/support/article/CS358996
Aktualisiert: 15. Dezember 2021 um 8:45 Uhr
Mathcad
https://www.ptc.com/en/support/article/CS358831
Aktualisiert: 16. Dezember 2021 um 10:48 Uhr
MKS Implementer
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
MKS Toolkit
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Was sind Modellziele?
Modellziele erkennen physische Objekte anhand ihrer CAD-Daten und eignen sich perfekt für die Verfolgung großer Maschinen und Automobile. Entwickler können mit Deep Learning Modelle trainieren, die sofort und automatisch aus jedem Winkel erkannt werden.
ObjectAda
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
Onshape
Gelöst, Freitag, 10. Dezember 2021, 9:30 Uhr (EST).
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Optegra
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Perc
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
PTC Modeler
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
PTC X/Server
Nicht anfällig für die Log4j 1.x oder 2.x-Schwachstelle CVE-2021-44228.
Aktualisiert: 16. Dezember 2021 um 9:20 Uhr
Service Knowledge Diagnostics (SKD)
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Servigistics
https://www.ptc.com/en/support/article/CS358886
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
TeleUSE
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
ThingWorx Analytics
https://www.ptc.com/en/support/article/CS358901
Aktualisiert: 15. Dezember 2021 um 9:45 Uhr
ThingWorx Platform
https://www.ptc.com/en/support/article/CS358901
Aktualisiert: 14. Dezember 2021 um 23:58 Uhr
Vuforia Chalk
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Vuforia Engine SDK
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Vuforia Engine Server
Gelöst, Freitag, 14. Dezember 2021, 9:28 Uhr (PST).
Aktualisiert: 16. Dezember 2021 um 12:56 Uhr
Vuforia Expert Capture
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Vuforia Instruct
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Vuforia Studio
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Webship und MOVE
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228. Analyse von Log4j 1.x läuft.
Aktualisiert: 14. Dezember 2021 um 23:58 Uhr
Ich habe weitere Fragen.
Weitere FAQs rund um Vuforia Engine finden Sie hier. Wenn Sie mit einem AR-Experten über Ihre Frage sprechen möchten, wenden Sie sich bitte mit diesem Formular an uns.
Windchill Navigate
https://www.ptc.com/en/support/article/CS359107
Aktualisiert: 14. Dezember 2021 um 17:00 Uhr
Windchill PLM und FlexPLM
https://www.ptc.com/en/support/article/CS358789
Aktualisiert: 14. Dezember 2021 um 23:58 Uhr
Ich habe weitere Fragen.
Weitere FAQs rund um Vuforia Engine finden Sie hier. Wenn Sie mit einem AR-Experten über Ihre Frage sprechen möchten, wenden Sie sich bitte mit diesem Formular an uns.
Windchill Product Analytics
Nicht anfällig für die Log4j 2.x-Schwachstellen CVE-2021-44228 und CVE-2021-45046. Nicht anfällig für die Log4j 1.x-Schwachstelle CVE-2021-4041.
Aktualisiert: 16. Dezember 2021 um 14:59 Uhr
Ich habe weitere Fragen.
Weitere FAQs rund um Vuforia Engine finden Sie hier. Wenn Sie mit einem AR-Experten über Ihre Frage sprechen möchten, wenden Sie sich bitte mit diesem Formular an uns.
Windchill Risk and Reliability
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 14. Dezember 2021 um 23:45 Uhr
Windchill RV&S
https://www.ptc.com/en/support/article/CS358804
Aktualisiert: 14. Dezember 2021 um 23:58 Uhr
X32plus
Nicht anfällig für die Log4j-Schwachstelle CVE-2021-44228.
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
PTC Cloud
Aktualisiert: 16. Dezember 2021. Auf dieser Seite veröffentlichen wir künftig aktuelle Informationen.
In Reaktion auf die Log4j-Sicherheitslücke werden für die PTC Cloud alle offiziell empfohlenen Maßnahmen zum Schutz gegen Apache Log4j 2 CVE-2021-44228 und CVE 2021-45046 in allen Technologievektoren ergriffen, die als Teil unseres Cloud-Dienstes unterstützt werden. Im Rahmen dieser Verpflichtung stimmen wir uns umfassend mit den verschiedenen F&E-Organisationen von PTC ab. Wir führen proaktiv und zeitnah alle erforderlichen Maßnahmen durch, um unsere Kunden bestmöglich gegen Sicherheitsbedrohungen zu schützen.
Bitte beachten Sie, dass wir im Zuge der Reaktion auf die Log4j-Situation mit hoher Dringlichkeit agieren müssen. Wir bemühen uns nach Möglichkeit, Maßnahmen, die Ausfallzeiten für Wartungstätigkeiten erfordern, im Voraus anzukündigen. In manchen Fällen kann es jedoch sein, dass keine Vorankündigung möglich ist, da unser oberstes Ziel der Schutz und die Sicherheit unserer Kunden ist.
Wir werden an dieser Stelle laufend über die neuesten Entwicklungen informieren. Wir empfehlen Ihnen daher, diese Seite regelmäßig auf aktuelle Informationen hin zu überprüfen.
Wenn Sie Fragen oder Bedenken haben, schreiben Sie uns an cloudservicemanagement@ptc.com. Wir bemühen uns, Ihnen zeitnah zu antworten.
PTC Hauptprodukte
- Servigistics
- PTC Cloud hat alle empfohlenen Wartungs-Patches Log4j 2.15 für alle Kunden, die die PTC Servigistics Software ausführen, vollständig installiert. Basierend auf aktuellen und zusätzlichen Empfehlungen planen wir, auch den Sicherheits-Wartungs-Patch Log4j 2.16 zu installieren. Wir beginnen damit am Abend des 16. Dezember. Wie bereits zuvor wird PTC Cloud das geplante Wartungszeitfenster im Voraus bekanntgeben, das pro Kunde etwa 60 bis 90 Minuten beträgt. Diese Aktivität soll bis zum 18. Dezember abgeschlossen sein.
- ThingWorx
- PTC Cloud hat sich mit den F&E- und Sicherheits-Teams bezüglich der empfohlenen Maßnahmen abgestimmt. Aktuell gehen wir davon aus, dass vorbeugende Wartungsarbeiten für die Log4j-Schwachstellen im Zusammenhang mit der ThingWorx Platform am 16. Dezember beginnen werden. Sobald detaillierte Pläne vorliegen, werden wir den Aktionsplan entsprechend kommunizieren.
- Windchill PLM und FlexPLM
- Für die Versionen von PTC Software, die auf PTC Cloud Plattformen ausgeführt werden, liegt keine Log4j-Sicherheitslücke vor. Bitte beachten Sie die Informationen zu Drittanbieter-Anwendungen (Ping Federate, Cognos, Solr) weiter unten.
Drittanbieter-Produkte/-Tools für PTC Cloud
- Ping Federate
- Als reine Vorsichtsmaßnahme wendet PTC Cloud gerade Korrekturmaßnahmen zum Schutz gegen Log4j-Schwachstellen an. Diese sollten planmäßig zwischen 14. und 16. Dezember mit minimalen Ausfallzeiten abgeschlossen werden können.
- Cognos
- Als reine Vorsichtsmaßnahme hat PTC Cloud entschieden, den Zugriff auf Cognos bis auf Weiteres zu unterbinden. Dies gilt mit sofortiger Wirkung. Die Maßnahme wurde bewusst durchgeführt, ohne Kunden im Voraus zu informieren. Bitte entschuldigen Sie die Unannehmlichkeiten, doch wir mussten rasch handeln, um Ihnen ein Höchstmaß an Schutz und Sicherheit zu bieten. PTC wird den Status und alle Vorfälle im Zusammenhang mit Log4j-Schwachstellen kontinuierlich überwachen und Sie benachrichtigen, wenn wir weitere Anweisungen von unserem F&E- und Sicherheits-Team zur weiteren Vorgehensweise erhalten.
- Solr
- Als reine Vorsichtsmaßnahme wendet PTC Cloud gerade aktiv Korrekturmaßnahmen zum Schutz gegen Log4j-Schwachstellen an. Wir rechnen mit geringen Ausfallzeiten des Solr-Indexdienstes. Der Dienst sollte bis Geschäftsschluss am 16. Dezember für alle Kunden vollständig wiederhergestellt sein. Bitte entschuldigen Sie, dass wir ohne Vorwarnung handeln mussten. Rasches Handeln war notwendig, um Ihnen ein Höchstmaß an Schutz und Sicherheit zu bieten. Bitte beachten Sie: Auch wenn Solr für kurze Zeit nicht nutzbar sein wird, wird die Metadatensuche zur Verfügung stehen. PTC empfiehlt, diese Suchfunktion für Metadaten (z. B. Name, Nummer oder andere Attribute) zu nutzen.
Empfohlene Korrektur nach Drittanbieter-Produkten/-Tools
Für Produkte, die nicht unten aufgeführt sind, werden wir empfohlene Vorgehensweisen bereitstellen, sobald diese zur Verfügung stehen. Auf dieser Seite veröffentlichen wir künftig aktuelle Informationen.
Wenn Sie PTC kontaktieren möchten, besuchen Sie folgende Seite: www.ptc.com/support.
Adobe Experience Manager (AEM)
https://www.ptc.com/en/support/article/CS359116
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
Cognos
Beachten Sie die Seite mit aktuellen Informationen von IBM, um Informationen zu gemeldeten Auswirkungen und empfohlenen Korrekturmaßnahmen zu erhalten: An update on the Apache Log4j CVE-2021-44228 vulnerability
Bei einer akuten Gefährdung wird Cognos unter Umständen ausgeschaltet, bis weitere bestätigte Details vorliegen. Die Berichterzeugung wird deaktiviert, bis das Problem gelöst ist. Alle anderen Produktfunktionen bleiben normal im Betrieb.
- Windchill und Cognos: https://www.ptc.com/en/support/article/CS359007
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
Performance Advisor (Dynatrace App Mon)
https://www.dynatrace.com/news/blog/how-dynatrace-uses-dynatrace-to-combat-the-log4j-vulnerability/
Aktualisiert: 20. Januar 2021 um 8:53 Uhr
Ping Federate
https://www.ptc.com/en/support/article/CS358902
Aktualisiert: 14. Dezember 2021 um 23:58 Uhr
Solr
Beachten Sie die Seite mit aktuellen Informationen von Apache Solr, um Informationen zu gemeldeten Auswirkungen und empfohlenen Korrekturmaßnahmen im Zusammenhang mit Solr zu erhalten: Apache Solr affected by Apache Log4J CVE-2021-44228
Bei einer akuten Gefährdung wird Solr unter Umständen ausgeschaltet, bis weitere bestätigte Details vorliegen. Die Indexsuche wird deaktiviert, bis das Problem gelöst ist. Alle anderen Produktfunktionen bleiben normal im Betrieb.
- Windchill und Solr: https://www.ptc.com/en/support/article/CS359011
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr
TIBCO
Beachten Sie den Artikel mit aktuellen Informationen von TIBCO, um Informationen zu gemeldeten Auswirkungen und empfohlenen Korrekturmaßnahmen zu erhalten: TIBCO Log4j Vulnerability Daily Update
- Windchill und TIBCO: https://www.ptc.com/en/support/article/CS359008
Aktualisiert: 15. Dezember 2021 um 20:08 Uhr