Rešitve

Ranljivost Log4j: pregled naših rešitev in priporočljivih ukrepov

Ranljivost knjižnice Log4j v nekaterih aplikacijah omogoča namestitev zlonamerne kode. Preverite seznam informacij o ranljivosti rešitev iz naše ponudbe in priporočenih ukrepov.


Tomaž Jeras, 22.12.2021

branja

Najverjetneje ste že slišali za novo odkrito ranljivost v Java aplikacijah, ki uporabljajo knjižnico Log4j za izdelavo dnevniških datotek (log). Ranljivost omogoča samodejno namestitev zlonamerne programske opreme na strežnik mimo običajnih varnostnih protokolov in brez sodelovanja uporabnikov ali skrbnikov.

To pomeni, da je ranljivost potrebno vzeti resno in v izogib morebitnim nevšečnostim preveriti ranljivost aplikacij, ki jih uporabljate v podjetju.

Katere aplikacije so ranljive zaradi Log4j?

Ranljiva je le knjižnica Log4j verzija 2.x. Ranljivost je bila odpravljena v verziji 2.17 in novejših, verzija 1.x pa ne vsebuje te ranljivosti.

Ranljivost je načeloma večji izziv za aplikacije, ki so odprte za internet, a lahko do napada pride tudi v interni mreži podjetij.

Log4j knjižnico vsebujejo tudi nekatere rešitve proizvajalca PTC, ki se sicer večinoma uporabljajo le znotraj internega omrežja. Kljub temu vam priporočamo, da iz previdnosti preverite, ali je med ranljivimi rešitvami tudi katera izmed tistih, ki jih uporabljate, in ukrepate v skladu s priporočili.  

PTC Windchill

Windchill uporablja knjižnico Log4j, a je ranljivost odvisna od verzije.

Windchill PDMLink 11.1 M020 ali starejši: uporablja Log4j verzija 1.x, zato ne vsebuje te ranljivosti.

Windchill PDMlink 12.0.2.0: vsebuje ranljivo knjižnico Log4j, zato je potrebno takojšnje ukrepanje.

  • Ranljivost bo popravljena ob naslednji posodobitvi CPS03, ki bo izšla v kratkem.
  • PTC je objavil postopek, kako odstranimo ranljivost iz Windchilla
  • Za izvedbo se obrnite na našo tehnično pomoč.

Več informacij

Thingworx Platform

ThingWorx v verzijah 8.5 - 9.2 vsebuje ranljivo knjižnico, a je v večini primerov ne uporablja. Izjema je uporaba "Remote Access Widget". V tem primeru je potrebno prenehati uporabljati to komponento.

  • Ranljivost bo odpravljena v novi verziji Thingworx 9.3.
  • PTC je izdal navodila, kako knjižnico odstraniti iz obstoječih verzij Thingworx.
  • Za izvedbo se obrnite na našo tehnično pomoč.

Več informacij

Creo

Creo v verzijah 4.0 - 8.0 vsebuje knjižnico Log4j 1.x, zato ne vsebuje te ranljivosti.

  • Odstranjevanje datotek ali nadgradnja Creo ni potrebna.

Več informacij

Licenčni strežnik Flexnet Publisher

Flexnet vsebuje ranljivo verzijo Log4j 2.x, a je ne uporablja.

  • Knjižnica se nahaja v mapi Examples.
  • PTC je izdal verzijo 11.17.1.0, ki ne vsebuje več mape Examples, zato tudi ne knjižnice Log4j.
  • PTC svetuje, da se mapo Examples odstrani iz instalacije Flexnet. Če potrebujete pomoč, se obrnite našo tehnično pomoč.

Več informacij

Aplikacije B&W

Aplikacije podjetja B&W ((EMX, AFX, IFX, PDX, …): ne vsebujejo knjižnice Log4j, zato ne vsebujejo ranljivosti.

Preberite še

Nasveti & triki
9 nasvetov, ki jih pri delu s Creo upoštevajo najboljši inženirji

Včasih za hitrejše in boljše rezultate ne potrebujemo velikih sprememb v načinu dela. Preverite, ali upoštevate 9 nasvetov, na katere se pri delu s Creo zanašajo najboljši inženirji.

Rešitve
Vabljeni na virtualno CAD konferenco

Udeležite se brezplačne virtualne konference s strokovnjaki PTC in vodjem razvoja v podjetju Triumph ter spoznajte, kaj zmore in prinaša povsem novi Creo 9.

Aplikativne minute
Aplikativne minute: multibody modeliranje

Z multibody operacijami lahko v Creo veliko enostavneje pridemo do različnih oblik naših modelov. Spoznajte jih v tokratnih Aplikativnih minutah.