Sicherheitslücke Log4j

Sicherheitslücke in Java beim Logging. Mehrere Programme sind ggf. betroffen.
Video Button

SOLIDWORKS 3D-CAD: Erster Einblick
4 Minuten

Update
Letzte Aktualisierung am 19.01.2022 12:00 Uhr

Sind Produkte von Dassault Systèmes & der Solidpro GmbH vertriebene Produkte von der Log4j-Sicherheitslücke betroffen?

Dassault Systèmes ist sich des Sicherheitsproblems im Zusammenhang mit dem Open-Source-Dienstprogramm Apache Log4j (CVE-2021-44228 & CVE-2021-45046) bewusst und unser Cybersecurity-Team untersucht seit Freitag, dem 10. Dezember, aktiv alle möglichen Auswirkungen dieser Schwachstelle.
Apache hat gemeldet, dass CVE-2021-44228 nur für die Log4j-Versionen 2.0-2.14.1 gilt und nicht für die Log4j-Versionen 1.x.

WICHTIGES UPDATE (17. Dezember 2021, 15:00 Uhr Pariser Zeit)

Nach der jüngsten Ankündigung von Apache (siehe hier) vom 17. Dezember in Bezug auf CVE-2021-45046, für die der CVSS-Score von 3,7 auf 9,0 angehoben wurde und alle log4j-Versionen außer 2.16 und 2.12.2 betrifft, die Verfahren und Notfallkorrekturen in diesem Artikel wurden mit log4j 2.16 aktualisiert, um diese Änderung widerzuspiegeln.
[aktualisiert am 17.12. 15 Uhr Pariser Zeit]
Für alle Dassault Systèmes-Lösungen, die unten nicht aufgeführt sind, gibt es keine Auswirkungen
[aktualisiert am 16.12. 8 Uhr Pariser Zeit]
Die diesem Artikel beigefügten Verfahren müssen nur angewendet werden, wenn Sie von einer der oben genannten Lösungen betroffen sind. Einige Untersuchungen sind noch im Gange, also bleiben Sie bitte auf dem Laufenden mit diesem Artikel.

3DEXPERIENCE Plattform Cloud

In den Stunden nach der Ankündigung hat Dassault Systèmes im Rahmen unserer Prozesse zur Ermittlung von Schwachstellen und Bedrohungen sofortige Maßnahmen ergriffen, um potenzielle Risiken im Zusammenhang mit dem SaaS-Angebot der 3DEXPERIENCE-Plattform zu mindern.
Wir bitten unsere Cloud-Benutzer von Collaborative Designer für X-CAD, auf die Version HF0.4 zu aktualisieren (verfügbar seit 14. Dezember – 19:00 Uhr Pariser Zeit).
[aktualisiert am 14.12. 21:00 Uhr Pariser Zeit]
Von unseren Cloud-Kunden der 3DEXPERIENCE-Plattform, die Collaborative Designer für X-CAD nicht verwenden, ist keine Aktion zu erwarten.
[aktualisiert am 14.12. 15:00 Pariser Zeit]

3DEXPERIENCE Plattform On-Premise

Sie müssen nur Aktionen ausführen, wenn Sie eines der folgenden Medien installiert haben:
Betroffene Level: ab R2021x
Betroffene Rollen: Kostenintelligenz, Gewichtung und Balance
Behebung von Notfallfixes: Klicken Sie hier, um den Notfallfix herunterzuladen (Supportkonto erforderlich). md5sum:1adb3700862e3bba34e26cb92ffe62f9
Erste Sofortige Abhilfe: Bitte folgen Sie dem Verfahren, indem Sie hier klicken
Betroffene Ebenen: ab R2020x HF1 (FP2006) und Upper, R2021x und R2022x
Betroffene Rollen: PLM Collaboration Services für Altium Designer, Collaborative Designer für Altium Designer, Collaborative Designer für Cadence Allegro
Notfallkorrektur für Collaborative Designer für Cadence Allegro: Klicken Sie hier, um die Notfallkorrektur für den Client herunterzuladen (Support-Konto erforderlich). md5sum: 094ad66b8770101cb6b407f34cf36452
Notfallkorrektur für Collaborative Designer für Altium Designer: Klicken Sie hier, um die Notfallkorrektur für den Client herunterzuladen (Support-Konto erforderlich). md5sum: d63bda905729899dd6bb4bc8b146c5c0
Erste Sofortige Abhilfe: Bitte folgen Sie dem Verfahren, indem Sie hier klicken
Betroffene Level: 3DEXPERIENCE Plattform ab R2017x FP1926 und höher
Fügen Sie eine anfällige ORACLE-Komponente hinzu. Bitte lesen Sie diesen ORACLE-Artikel (Zugriff auf „My Oracle Support“ mit genehmigten aktiven Support-IDs erforderlich, um auf den Artikel zuzugreifen)
Fehlerbehebung im Notfall:
Klicken Sie hier, um den Notfallfix für den Client herunterzuladen (Support-Konto erforderlich). md5sum:5ccaec743520d0bf6eb5056fc2f12fb3
Klicken Sie hier, um den Notfall-Fix für den Server herunterzuladen (Support-Konto erforderlich). md5sum:e70abd98b3d6f24108fda8d3621ce161
Erste Sofortige Abhilfe: Bitte folgen Sie dem Verfahren, indem Sie hier klicken.
Version Publication date Content summary
1.0 2021-12-13
  • First publication.
  • 3DEXPERIENCE Platform SaaS solutions fixed
  • Impacted Solutions announcement with manual and immediate remediation procedures
1.1 2021-12-15
  • New impacted solutions: ENOVIA SMARTEAM AutoVue, 3DEXPERIENCE Platform On Premise AutoVue, ENOVIA Qumas with manual and immediate remediation procedures
1.2 2021-12-16
  • Procedures added for ENOVIA SMARTEAM AutoVue, 3DEXPERIENCE Platform On Premise AutoVue
  • New impacted solutions: BIOVIA with manual and immediate remediation procedures
1.3 2021-12-17
  • Procedures updated with log4j 2.16
  • New impacted solutions: BIOVIA with manual and immediate remediation procedures
1.4

2021-12-17

10PM Paris time

  • Emergency fixes download added for 3DEXPERIENCE platform On premise Business Insights Installation & 3DEXPERIENCE platform On premise "AutoVue 3D Viewer" and "AutoVue 2D Viewer"
1.5

2021-12-20

2PM Paris time

  • Updated procedure for DELMIA Quintiq
1.6

2021-12-20

7PM Paris time

  • Emergency fixes download added for Collaborative Designer for Cadence Allegro, Collaborative Designer for Altium Designer, BIOVIA Biological Registration and BIOVIA Chemical Registration, BIOVIA Hub package, BIOVIA Pipeline Pilot Next Generation Sequencing Collection, BIOVIA Pipeline Pilot BIOVIA BiologyGPL Collection
1.7

2021-12-20

10:30 PM Paris time

  • CATIA NoMagic procedure updated (V3)
1.8

2021-12-21

4:30 PM Paris time

  • Emergency fixes download added for DELMIA Quintiq
  • Final fixed version for CATIA NoMagic added
1.9

2021-12-22

11:30 AM Paris time

  • Emergency fixes updated for 3DEXPERIENCE platform On premise "AutoVue 3D Viewer" and "AutoVue 2D Viewer"
  • Updated procedure for DELMIA Quintiq
  • Updated procedure for ENOVIA SMARTEAM
1.10

2021-12-22

3 PM Paris time

  • Updated procedure for 3DEXPERIENCE platform On premise "AutoVue 3D Viewer" and "AutoVue 2D Viewer"
  • Added procedure for DELMIA Quintiq 5.6 refresh25 HF2
1.11

2021-12-22

7 PM Paris time

  • Added Emergency fix for CATIA MAGIC/No Magic R2021x Refresh 2 
  • Added Emergency Fix for ENOVIA SMARTEAM
1.12

2021-12-23

8:30 PM Paris time

  • Updated procedure for DELMIA Quintiq
  • Added Emergency fix for BIOVIA Hub package
1.13

2021-12-24

3:00 PM Paris time

  • Updated procedure for DELMIA Quintiq
  • Added procedure for DELMIA Quintiq 5.3 Refresh25 HF1 (5.3.2.5 HF1) & DELMIA  Quintiq 5.2 Refresh25 HF1 (5.2.2.5 HF1)
1.14

2022-01-05

3:00 PM Paris time

  • Updated procedure for DELMIA Quintiq
1.15

2022-01-11

3:30 PM Paris time

  • Updated procedure for DELMIA Quintiq
  • Updated procedure for CATIA MAGIC/No Magic
Alle anderen Medien der 3DEXPERIENCE-Plattform sind nicht betroffen.

CATIA No Magic

Betroffene Level: R2021x Refresh 1 & 2
Behobene Version von CATIA MAGIC/No Magic R2021x Refresh 1 verfügbar auf https://software.3ds.com
Navigieren Sie zu CATIA, No Magic, NoMagic R2021x, wählen Sie Refresh 1 und wählen Sie die „Fixes for this Level“
Catia noMagic 1
Behobene Version von CATIA MAGIC/No Magic R2021x Refresh 2 verfügbar auf https://software.3ds.com
Navigieren Sie zu CATIA, No Magic, NoMagic R2021x, wählen Sie Refresh 2 und wählen Sie die „Fixes for this Level“
Catia noMagic 2
Erste Sofortige Abhilfe: Bitte folgen Sie dem Verfahren, indem Sie hier klicken
Weitere Informationen finden Sie auch auf der speziellen CATIA No Magic-Webseite (hier klicken)

Cadenas

  • V9 und V10 haben eine log4j.jar-Datei, die sich in libs/all/java/jar befindet. Dies wird nur in der Vault-Benutzeroberfläche verwendet. Daher können Sie die JAR bei Ihren Kunden einfach löschen, wenn Sie Vault nicht verwenden. Wenn Sie Vault verwenden, kontaktieren Sie mich bitte. Es gibt Möglichkeiten, den verwundbaren Teil von log4j mit einer Umgebungsvariablen zu deaktivieren.
  • V11 enthält kein log4j, keine Aktion erforderlich.
  • V12 enthält ein log4j, das jedoch derzeit nicht aktiv ist. Wir werden es für SP1 aktualisieren (sobald es einen Fix gibt).

DPS (TopsWorks, JobBox, ViewBox, VarBox, MacroSheet, TableAddin)

Die von DPS entwickelten und unserer Kundschaft zur Verfügung gestellten Programme (TopsWorks, JobBox, ViewBox, VarBox, MacroSheet, TableAddin) basieren auf dem .Net Framework und sind von der aktuellen Schwachstelle (CVE-2021-44228) in log4j nicht betroffen.

Smap3D Plant Design GmbH

Keine Produkte von Smap3D nutzen Java – somit auch nicht das log4j

Solidpro

Die von Solidpro entwickelten und unserer Kundschaft zur Verfügung gestellten Programme sind von der aktuellen Schwachstelle (CVE-2021-44228) in log4j nicht betroffen.

SOLIDWORKS

SOLIDWORKS Desktop Produkte sind nach Untersuchungen des Herstellersderzeit nicht betroffen. Einige Untersuchungen und Tests laufen noch.
Die Qualitätssicherung wird weitere Prüfungen vornehmen. Sie werden nach Abschluss der Prüfungen, falls kritisch, noch weitere Informationen von uns erhalten.
SOLIDWORKS Desktop umfasst alle Produkte, die in keiner Weise mit der Plattform interagieren, wie z.B, CAD, SWE, CAM, PDM, EXALEAD OnePart, Verwalten, SIM, Visualisieren, etc…

3DDruck (Hewlett Packard)

CA & R&D haben bestätigt, dass log4j keine HP 3D-Geräte/Systeme (einschließlich Clouds und Server) betroffen hat.

SolidCAM

Keine Produkte von SolidCAM,somit auch nicht das log4j