Stratégie de remédiation de PTC
En ce qui concerne la remédiation d'Apache Log4j 2 CVE-2021-44228 et CVE 2021-45046, PTC recommande de supprimer la chaîne JNDILookup.class comme décrit dans la remédiation d'Apache. Comme le montrent les tests effectués par PTC jusqu'à cette date (à savoir entre le 10 décembre et le 15 décembre 2021), l'utilisation de cette méthode n'a pas eu d'effets négatifs. PTC n'a pas utilisé cette fonctionnalité de chargement dynamique dans ses produits. Cette remédiation devrait être à la fois efficace pour résoudre la vulnérabilité et à très faible risque pour ses produits. Si cette modification présente un risque, ce risque est limité au sous-système de journalisation des applications et les erreurs qui en résultent sont bien moins importantes que ne l'est l'exposition à une faille de sécurité. En attendant une certification officielle qui leur permettra de réduire leur exposition à ce problème critique, les clients peuvent, préventivement, remédier à cette faille de sécurité.
Dans la documentation PTC sur la remédiation, fournie ci-dessous, nous indiquerons clairement où est intégré Log4j 2 dans les applications tierces et comment remédier au problème. Dans le cas où des logiciels PTC n'utiliseraient pas Log4j 2, il est possible que des composants tiers l'aient intégré et qu'il soit donc nécessaire, de la même façon, de remédier à cette situation. Dans le cas où des logiciels PTC utiliseraient Log4j 2, nous fournirons les versions de correctifs nécessaires intégrant les versions mises à jour de Log4j 2. Toutefois, les clients ne doivent pas attendre ces correctifs. Ils doivent prendre immédiatement des mesures pour sécuriser leurs systèmes. Cette recommandation s'applique à toutes les installations de nos clients, y compris leurs systèmes de développement et de test, leurs systèmes de production, sans oublier leurs applications bureautiques, comme indiqué ci-dessous.
PTC a décidé de ne pas recommander l'autre option de remédiation qui consiste à utiliser les propriétés des systèmes pour désactiver la fonction. Selon nous, cette solution risque de mener à l'échec en faisant passer purement et simplement les propriétés dans les applications ou, pire, en les excluant potentiellement à l'avenir, ce qui peut ne pas protéger convenablement vos systèmes.
Concernant la vulnérabilité CVE-2021-4041 (https://bugzilla.redhat.com/show_bug.cgi?id=2031667) d'Apache Log4j 1.x, postée le 14 décembre 2021, PTC s'investit activement afin de proposer pour chaque produit les mesures de remédiation requises. La méthode JMSAppender qui y est décrite produit un scénario similaire à la faille de sécurité du Log4j 2 où un attaquant utilise un JMS Broker contre un vecteur d'attaque JNDI/LDAP. Cette faille nécessite un accès administratif au système pour activer cette fonction, désactivée par défaut. La gravité résultante de ce CVE (Common Vulnerabilities and Exposures, une liste publique de failles de sécurité informatique) correspond à un risque moyen étant donné l'intervention nécessaire pour l'activer. Les clients doivent considérer les étapes de remédiation fournies pour ce CVE s'ils ont activé leur propre utilisation de cette fonction. PTC fournira davantage d'informations sur ce parcours de résolution des failles au fur et à mesure que des informations seront disponibles.
Remédiation recommandée par produit de base
Pour les produits non listés ci-dessous, nous vous ferons part des actions recommandées dès qu'elles seront disponibles. Veuillez vous référer à cette alerte pour les mises à jour à venir.
Si vous avez besoin de contacter PTC, veuillez consulter le site : www.ptc.com/support.
AdaWorld
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 15 décembre 2021 à 20 h 08
ApexAda
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 15 décembre 2021 à 20 h 08
Arena
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
Atlas
Résolu à 5 h 30 Heure de Washington, le vendredi 10 décembre 2021.
Arbortext
https://www.ptc.com/en/support/article/CS358998
Mis à jour le 15 décembre 2021 à 9 h 45
Arbortext Content Delivery
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de log4j 1.x en cours.
Mis à jour le 15 décembre 2021 à 11 h 25
Arbortext IsoDraw
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Référez-vous à l'article CS358831 si le serveur de licences Creo est affecté par cette faille de sécurité : https://www.ptc.com/en/support/article/CS358831
Mis à jour le 16 décembre 2021 à 15 h
Axeda
https://www.ptc.com/en/support/article/CS358990
Mis à jour le 14 décembre 2021 à 23 h 45
CADDS5
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de log4j 1.x en cours.
Mis à jour le 14 décembre 2021 à 23 h 45
Creo Direct
https://www.ptc.com/en/support/article/CS358831
Mis à jour le 15 décembre 2021 à 16 h 49
Creo Elements/Direct
https://www.ptc.com/en/support/article/CS358965
Mis à jour le 15 décembre 2021 à 8 h 08
Creo Generative Design
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Aucune autre action requise.
Mis à jour le 15 décembre 2021 à 8 h 08
Creo Illustrate
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Référez-vous à l'article CS358831 si le serveur de licences Creo est affecté par cette faille de sécurité : https://www.ptc.com/en/support/article/CS358831
Mis à jour le 16 décembre 2021 à 15 h
Creo Layout
https://www.ptc.com/en/support/article/CS358831
Mis à jour le 15 décembre 2021 à 16 h 49
Creo Parametric
https://www.ptc.com/en/support/article/CS358831
Mis à jour le 15 décembre 2021 à 8 h 08
Creo Schematics
https://www.ptc.com/en/support/article/CS358831
Mis à jour le 15 décembre 2021 à 8 h 08
Creo Simulate
https://www.ptc.com/en/support/article/CS358831
Mis à jour le 15 décembre 2021 à 16 h 49
Creo View
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Référez-vous à l'article CS358831 si le serveur de licences Creo est affecté par cette faille de sécurité : https://www.ptc.com/en/support/article/CS358831
Mis à jour le 16 décembre 2021 à 15 h
Creo View Adapters
https://www.ptc.com/en/support/article/CS359116
Mis à jour le 15 décembre 2021 à 20 h 08
Empower
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 16 décembre 2021 à 15 h 50
iWarranty
L'analyse des garanties (Service Intelligence) utilise IBM Cognos. Veuillez vous reporter à la section Cognos ci-dessous, sous « Produits/outils tiers » pour plus d'informations. Tous les autres modules ne sont pas affectés par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 17 décembre 2021 à 9 h 11
Kepware
https://www.ptc.com/en/support/article/CS358996
Mis à jour le 15 décembre 2021 à 8 h 45
Mathcad
https://www.ptc.com/en/support/article/CS358831
Mis à jour le 16 décembre 2021 à 10 h 48
MKS Implementer
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de Log4j 1.x en cours.
Mis à jour le 14 décembre 2021 à 23 h 45
MKS Toolkit
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de log4j 1.x en cours.
Mis à jour le 14 décembre 2021 à 23 h 45
Que sont les cibles modèles ?
Les cibles modèles reconnaissent les objets physiques par leurs données CAO. Elles sont parfaites pour effectuer le suivi de grosses machines ou d'automobiles. Les développeurs peuvent également exploiter le deep learning, ou apprentissage profond, pour que les modèles soient reconnus instantanément et automatiquement, quel que soit l'angle.
ObjectAda
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 15 décembre 2021 à 20 h 08
Onshape
Résolu à 9 h 30 Heure de Washington, le vendredi 10 décembre 2021.
Mis à jour le 14 décembre 2021 à 23 h 45
Optegra
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j. Analyse de log4j 1.x en cours.
Mis à jour le 14 décembre 2021 à 23 h 45
Perc
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
PTC Modeler
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
PTC X/Server
Non affecté par la vulnérabilité CVE2021-44228 de Log4j 1.x ou 2.x.
Mis à jour le 16 décembre 2021 à 9 h 20
Service Knowledge Diagnostics (SKD)
Non affecté par la vulnérabilité CVE2021-44228 de Log4j. Analyse de Log4j 1.x en cours.
Mis à jour le 14 décembre 2021 à 23 h 45
Servigistics
https://www.ptc.com/en/support/article/CS358886
Mis à jour le 14 décembre 2021 à 23 h 45
TeleUSE
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 15 décembre 2021 à 20 h 08
ThingWorx Analytics.
https://www.ptc.com/en/support/article/CS358901
Mis à jour le 15 décembre 2021 à 9 h 45
ThingWorx Platform
https://www.ptc.com/en/support/article/CS358901
Mis à jour le 14 décembre 2021 à 11 h 58
Vuforia Chalk
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
Vuforia Engine SDK
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
Vuforia Engine Server
Résolu à 9 h 28 Heure de Washington, le vendredi 14 décembre 2021.
Mis à jour le 16 décembre 2021 à 12 h 56.
Vuforia Expert Capture
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
Vuforia Instruct
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
Vuforia Studio
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
WebShip et MOVE
Non affecté par la vulnérabilité CVE2021-44228 de Log4j. Analyse de Log4j 1.x en cours.
Mis à jour le 14 décembre 2021 à 11 h 58
J'ai d'autres questions.
Pour prendre connaissance des questions fréquentes sur Vuforia Engine, veuillez cliquer ici. Si vous souhaitez vous entretenir sur une question précise avec un expert AR, veuillez nous contacter via ce formulaire.
Windchill Navigate
https://www.ptc.com/en/support/article/CS359107
Mis à jour le 14 décembre 2021 à 17 h
Windchill PLM et FlexPLM
https://www.ptc.com/en/support/article/CS358789
Mis à jour le 14 décembre 2021 à 11 h 58
J'ai d'autres questions.
Pour prendre connaissance des questions fréquentes sur Vuforia Engine, veuillez cliquer ici. Si vous souhaitez vous entretenir sur une question précise avec un expert AR, veuillez nous contacter via ce formulaire.
Windchill Product Analytics
Non affecté par les vulnérabilités CVE-2021-44228 et CVE 2021-45046 de Log4j 2.x. Non affecté par la vulnérabilité CVE-2021-4041 de Logj4 1.x.
Mis à jour le 16 décembre 2021 à 14 h 59
J'ai d'autres questions.
Pour prendre connaissance des questions fréquentes sur Vuforia Engine, veuillez cliquer ici. Si vous souhaitez vous entretenir sur une question précise avec un expert AR, veuillez nous contacter via ce formulaire.
Windchill Risk and Reliability
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 14 décembre 2021 à 23 h 45
Windchill RV&S
https://www.ptc.com/en/support/article/CS358804
Mis à jour le 14 décembre 2021 à 11 h 58
X32Plus
Non affecté par la vulnérabilité CVE-2021-44228 de Log4j.
Mis à jour le 15 décembre 2021 à 20 h 08
PTC Cloud
Mis à jour le 16 décembre 2021. Veuillez vous référer à cette alerte pour les mises à jour à venir.
En réponse aux failles de sécurité de Log4j, l'équipe du PTC Cloud est fermement résolue à appliquer les actions recommandées pour protéger le Cloud PTC des vulnérabilités CVE-2021-44228 et CVE 2021-45046 d'Apache Log4j 2 dans l'ensemble des vecteurs technologiques pris en charge par le service Cloud de PTC. Dans le cadre de cet engagement, nous sommes totalement alignés sur les différentes organisations R&D de PTC. Dans l'état actuel des choses, nous menons de manière proactive et rapide les actions requises afin de protéger au mieux nos clients contre ces failles de sécurité.
Alors que nous mettons tout en œuvre pour faire face aux failles de sécurité de Log4j, veuillez noter que PTC Cloud s'emploie, de façon urgente, à atteindre cet objectif. Nous ferons de notre mieux pour communiquer à l'avance toute action nécessitant une durée d'immobilisation due à la maintenance. Toutefois, dans certains cas, étant donné que notre objectif premier est d'assurer votre protection, il se peut que nous ne puissions pas vous avertir à l'avance.
Nous profiterons de ce forum de communication central pour vous tenir régulièrement à jour, comme il se doit, de la situation. Nous vous invitons à surveiller en permanence les mises à jour que nous pourrions vous adresser via ce moyen de communication.
Si vous avez des inquiétudes ou des questions, veuillez nous les adresser par e-mail à cloudservicemanagement@ptc.com et nous vous répondrons dans les meilleurs délais.
Produits de base PTC
- Servigistics
- L'équipe du PTC Cloud a fini d'appliquer tous les correctifs de maintenance applicables recommandés pour Log4j 2.15 chez tous nos clients qui utilisent des logiciels PTC Servigistics. Sur la base de recommandations récentes supplémentaires, nous prévoyons d'appliquer le correctif de maintenance et de sécurité Log4j 2.16. Cette opération sera lancée en fin de journée, le 16 décembre prochain. Comme nous l'avons fait précédemment, PTC Cloud annoncera à l'avance la fenêtre de maintenance ciblée, qui devrait durer de 60 à 90 minutes par client. Cette opération devrait être terminée au plus tard le 18 décembre.
- ThingWorx
- En ce qui concerne les actions recommandées, PTC Cloud s'est aligné sur PTC R&D et sur les équipes de sécurité. Il est actuellement prévu que la maintenance préventive concernant les vulnérabilités Log4j liées à ThingWorx Platform débutera le 16 décembre. Au fur et à masure que les plans détaillés seront au point, nous communiquerons le plan d'action en conséquence.
- Windchill PLM et FlexPLM
- Si l'on se base sur les versions des logiciels PTC tournant sur des plateformes PTC Cloud, ceux-ci ne sont pas affectés par la vulnérabilité Log4J. En ce qui concerne les applications tierces (Ping Federate, Cognos et Solr), veuillez vous référer aux informations ci-dessous.
Produits/outils tiers de PTC Cloud
- Ping Federate
- Par mesure de précaution, PTC Cloud s'applique actuellement à mener une action de remédiation qui fournira une protection contre les vulnérabilités de Log4j. Cette opération qui devrait engendrer une immobilisation à durée limitée, sera lancée le 14 décembre. Elle sera menée rapidement et devrait se terminer le 16 décembre.
- Cognos
- Par mesure de précaution, PTC Cloud a décidé de désactiver l'accès à Cognos jusqu'à nouvel ordre. PTC Cloud a bloqué aussitôt l'accès à cette application, en connaissance de cause, sans en avertir au préalable ses clients. Nous sommes sincèrement désolés de ne pas vous avoir avertis à l'avance. Toutefois, nous avons tenu à réagir rapidement afin de vous garantir le plus haut niveau de protection et de sécurité. PTC surveillera en permanence le statut des failles de sécurité Log4J ainsi que les événements liés à ces failles. Dès que nous aurons des informations sur la façon de procéder de la part du R&D et de l'équipe de sécurité, nous ne manquerons pas de vous en faire part.
- Solr
- Par mesure de précaution, PTC Cloud s'applique actuellement à mener une action de remédiation qui fournira une protection contre les vulnérabilités de Log4j. Nous pensons que la durée d'interruption du service d'indexation de Solr sera limitée et que ce dernier sera de nouveau rétabli pour tous nos clients avant la fermeture des bureaux, le 16 décembre. Nous sommes sincèrement désolés de ne pas vous avoir avertis à l'avance. Toutefois, nous avons tenu à réagir rapidement afin de vous garantir le plus haut niveau de protection et de sécurité. Notez que, même si nos clients ne peuvent pas utiliser Solr pendant une courte période, il leur sera quand même possible d'utiliser la fonction de recherche dans les métadonnées (en recherchant par Nom, Numéro ou tout autre attribut). C'est d'ailleurs ce que leur conseille de faire PTC.
Remédiation recommandée pour les produits/outils tiers
Pour les produits non listés ci-dessous, nous vous ferons part des actions recommandées dès qu'elles seront disponibles. Veuillez vous référer à cette alerte pour les mises à jour à venir.
Si vous avez besoin de contacter PTC, veuillez consulter le site : www.ptc.com/support.
Adobe Experience Manager (AEM)
https://www.ptc.com/en/support/article/CS359116
Mis à jour le 15 décembre 2021 à 20 h 08
Cognos
Référez-vous à la page de mise à jour publiée par IBM pour connaître les effets rapportés et les mesures de remédiation recommandées : An update on the Apache Log4j CVE-2021-44228 vulnerability (Mise à jour relative à la vulnérabilité CVE-2021-44228 dans Apache Log4j - article en anglais)
Pour éviter tout problème immédiat, Cognos peut être désactivé en attendant des informations complémentaires. La génération de rapport sera désactivée tant que le problème ne sera pas résolu. Toutes les autres fonctionnalités du produit pourront être utilisées.
- Windchill et Cognos : https://www.ptc.com/en/support/article/CS359007
Mis à jour le 15 décembre 2021 à 20 h 08
Performance Advisor (Dynatrace AppMon)
https://www.dynatrace.com/news/blog/how-dynatrace-uses-dynatrace-to-combat-the-log4j-vulnerability
Updated: January 13, 2022
Ping Federate
https://www.ptc.com/en/support/article/CS358902
Mis à jour le 14 décembre 2021 à 11 h 58
Solr
Référez-vous à la note d'information publiée sur Apache Solr pour connaître l'impact de la faille de sécurité sur Solr et les mesures de remédiation recommandées : Apache Solr affected by Apache Log4J CVE-2021-44228 (Impact d'Apache Log4J sur Apache Sorl - article en anglais)
Pour éviter tout problème immédiat, Sorl peut être désactivé en attendant des informations complémentaires. De même, Index Search devra être désactivé tant que le problème ne sera pas résolu. Toutes les autres fonctionnalités du produit pourront être utilisées.
- Windchill et Sorl : https://www.ptc.com/en/support/article/CS359011
Mis à jour le 15 décembre 2021 à 20 h 08
TIBCO
Référez-vous à l'article publié par TIBCO pour connaître les répercussions rapportées et les mesures de remédiation recommandées pour TIBCO : TIBCO Log4j Vulnerability Daily Update (Mise à jour quotidienne sur la vulnérabilité Log4j de TIBCO - article en anglais)
- Windchill et TIBCO : https://www.ptc.com/en/support/article/CS359008
Mis à jour le 15 décembre 2021 à 20 h 08