Es wurde ein Interim-Patch von Oracle veröffentlicht. Dieser Patch soll für alle betroffenen P6 EPPM Versionen ab 19.12. funktionieren und kann bei Bedarf auch bei PPM Installationen verwendet werden.
Das Statement von Oracle zur Veröffentlichung des Interim-Patch finden Sie hier.
This issue has been resolved within the following interim patch:
Please refer to the README documentation for steps to apply the interim patch.
The single patch is applicable to all affected releases. The patch can also be applied to the P6 PPM (Integration API) component).
**15Dec21 UPDATE**
This patch was remediated on 15Dec21 to address both CVE-2021-44228 and CVE-2021-45046.
ACTION ITEMS:
• If you downloaded/applied the patch prior to 15Dec21, you will have to re-download and apply the new patch.
• If you applied a previously documented JVM parameter workaround, you will have to download and apply the patch to mitigate.
Update: Tools, Schnittstellen und Umgebungen der proadvise GmbH
- proimporter: Wir arbeiten mit Hochdruck an der Umsetzung des Interim-Patch für den proimporter (on-Premise zusammen mit der P6 Version 19.12 bis 20.12).
- excelP6ConfigTool: Wir arbeiten mit Hochdruck an der Umsetzung des Interim-Patch für das excelP6ConfigTool.
- SaaS-Umgebung: die von Oracle veröffentlichten Maßnahmen zur Behebung des Problems werden zeitnah auf der pa SaaS-Umgebung umgesetzt. Ein Update nach erfolgreicher Umsetzung erfolgt unter News & Blog.
- P6 Kundenschnittstellen und Add-Ons: Kunden mit API und Webservice Schnittstellen kontaktieren bitte unseren Support zur individuellen Analyse.
Bei Bedarf oder offenen Fragen kommen Sie gerne auf uns zu.
Info: Hier erhalten Sie zusätzlich einen Überblick über mögliche Hersteller, die von der Log4J Sicherheitslücke betroffen sind:
• log4shell/README.md at main · NCSC-NL/log4shell · GitHub
• https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
