Vážení zákazníci
Pred nedávnom boli zverejnené detaily o závažnej chybe nazvanej Log4Shell, ktorá sa potenciálne môže týkať mnohých systémov, služieb a webových aplikácií napísaných v programovacom jazyku Java. Zraniteľnosť sa nachádza v knižnici Log4j od spoločnosti Apache. Ohrozené sú primárne firmy.
Teraz záleží na samotných autoroch aplikácií, správcoch systémov či firemných sietí, aby podnikli nevyhnutné kroky pre úplné zabránenie,
alebo aspoň zníženie rizika zneužitia.
Čo je Log4j?
Knižnica Log4j od spoločnosti Apache, naprogramovaná v jazyku Java, pomáha aplikáciám ukladať záznamy o aktivite, tzv. logy a nachádza sa v širokom portfóliu aplikácií a služieb vrátane aplikácií popredných výrobcov, medzi ktoré patrí aj PTC. Knižnica Log4j je používaná v rámci softvérových produktov aj fyzických zariadení, kde môže byť zneužitá bez akejkoľvek autentifikácie či znalosti prístupových údajov.
Viac informácií o možných rizikách nájdete aj na stránkach:
PTC a Log4j
Všetky opravné opatrenia poskytované spoločnosťou PTC sa budú vzťahovať na aktuálne a aktívne podporované verzie softvéru. Opravné kroky však budú podobné, alebo totožné aj pre staršie verzie softvéru, ktoré využívajú Log4j v1, alebo v2 a PTC ich už aktívne nepodporuje.
Spoločnosť PTC dôrazne vyzýva zákazníkov na podporovaných a nepodporovaných verziách softvéru, aby vykonali jednotlivé kroky na ochranu svojej infraštruktúry a nepredpokladali, že staršie verzie softvéru nie sú ovplyvnené doteraz odhalenými zraniteľnosťami.
Návrh riešenia bezpečnostného problému:
- Preinštalovanie novšej verzie „Flexnet license server“, PTC verzia Lmadmin 11.17.1.0 z 16. Decembra 2021. Priečinok, ktorý obsahoval spomínané nebezpečné súbory bol z aktualizovanej verzie odstránený. Odkaz na stiahnutie aktualizovaného, samostatného inštalačného programu „FLEXnet Lmadmin“ nájdete v časti Poznámky k hardvéru – licenčný server FlexNet License Server.
- Alebo, vymazanie, manuálne odstránenie všetkých súborov log4J*.jar z licenčného servera Flexnet. V reakcii na chyby zabezpečenia vo verziách 1.xa 2.x Apache Log4j odstráňte všetky nájdené súbory log4j*.jar verzie 1.x, alebo 2.x zo všetkých licenčných serverov FlexNet PTC, pretože tieto súbory nie sú potrebné. Požadovaným odstránením uvedených súborov je zabezpečené odstránenie nebezpečenstva samotnými zákazníkmi.
Štandardná cesta inštalácie je nasledovná:
- C:\Program Files\PTC\FLEXnet Admin License Server\examples\alerter\lib\log4j-1.2-api-2.13.3.jar
- C:\Program Files\PTC\FLEXnet Admin License Server\examples\alerter\lib\log4j-api-2.13.3.jar
- C:\Program Files\PTC\FLEXnet Admin License Server\examples\alerter\lib\log4j-core-2.13.3.jar
Presné verzie vyššie uvedených súborov sa môžu líšiť, ak bola nainštalovaná staršia verzia licenčného servera. Uistite sa, že ste odstránili všetky súbory log4j*.jar nájdené na licenčnom serveri Flexnet.
Ďalšie podrobnosti a aktualizácie nájdete na stránke Log4j Security Vulnerability Response Center.