2023年4月7日
IBM i の複数のサブコンポーネントは log4j バージョン v1.x ファイルを出荷しており、脆弱性の詳細セクションに記載されている問題に対して脆弱です。
| 影響を受ける製品 | バージョン |
|---|---|
| IBM Navigator for i (heritageバージョン) | IBM i 7.4, 7.3, and 7.2 (heritageバージョン) |
| Integrated Web Server (IWS) | IBM i 7.4, 7.3, 7.2 – V2.6 IBM i 7.2 – V1.3 と V1.5 |
| Integrated Application Server (IAS) | IBM i 7.2 – V7.1 と V8.1 |
| IBM i Access Client Solutions | 1.1.8.6 ならびにそれ以前のバージョン |
- IBM Navigator for i – heritageバージョンはlog4j v1.xを使用し、log4j v2.xにアップデートできません。
- Integrated Web Server (IWS) V2.6 にはlog4j v1.x パッケージへの未使用の参照があります。
- IBM i 7.2 – Integrated Application Server (IAS) V7.1 & V8.1 および Integrated Web Server (IWS) V1.3 & V1.5 は log4j v1.x を使用しており、log4j v2.x にアップデートできません。
- IBM i Access Client Solutions (ACS) バージョン 1.1.8.6 およびそれ以前には未使用の log4j v1.x jar ファイルがありました。
- IBM i は、「修復/修正」セクションに記載されているように、該当する CVE に対処しました。
説明:Apache Log4j は、攻撃者が Log4j 設定への書き込みアクセス権を持っている場合、信頼できないデータのデシリアライズが原因で、リモート攻撃者がシステム上で任意のコードを実行することができる可能性があります。この脆弱性を利用することで、攻撃者はシステム上で任意のコードを実行できる可能性があります。
CVSSベーススコア:8.1
IBM では、今すぐこの脆弱性に対処することを強く推奨しています。
- IBM i Access Client Solutions バージョン 1.1.8.6 以前のバージョンには、未使用の log4j v1.x jar ファイルが含まれていました。 この問題は、ACSバージョン1.1.8.7以降にアップグレードすることで修正することができます。 IBM i Access Client Solutionsの最新バージョンの入手方法に関する詳細は、https://www.ibm.com/support/pages/ibm-i-access-client-solutionsでご確認ください。
- Integrated Web Server (IWS) V2.6 には log4j v1.x パッケージへの未使用の参照が含まれていました。 この問題は、IBM i に PTF を適用することで修正することができます。 IBM i のリリース 7.4 および 7.3 が修正される予定です。
- IBM i 7.2のみ – Integrated Application Server (IAS) V7.1 & V8.1 および Integrated Web Services Server (IWS) V1.3 & V1.5 は log4j v1.x を使用しており、アップデートすることができません。 お客様は、すでに10年間提供されているリバティベースのサポート(V2.6)に移行することで、log4jの問題を解決することができます。これらのサーバーランタイムは、7.2リリースから削除されました。この修正により、サーバーランタイムは削除され、これらのサーバーは実行されなくなります。このレベルのIWSをまだ使用している場合は、これらのPTFを適用する前に、WebサービスをV2.6レベルに移行してください。移行に関する詳細は、https://www.ibm.com/support/pages/how-migrate-your-ibm-integrated-web-services-iws-server-v13v15-v26を参照してください。 この問題は、IBM iにPTFを適用することで修正できます。 IBM iのリリース7.2が修正される予定です。
修正を含む IBM i の PTF 番号は以下の通りです。 HTTP Server の将来のグループ PTF には、この CVE の修正も含まれる予定です。
| IBM i リリース | 5770-DG1 IBM HTTP Server for i グループPTF – レベル PTF |
ダウンロードリンク |
|---|---|---|
| 7.4 | SF99662 – 19 | SF99662 740 IBM HTTP Server for i |
| 7.3 | SF99722 – 38 | SF99722 730 IBM HTTP Server for i |
| 7.2 | SF99713 – 49 | SF99713 720 IBM HTTP Server for i |
- IBM Navigator for i – heritage versionはlog4j v1.xを使用しており、log4j v2.xにアップデートしたり、使用から削除することはできません。 この問題は、パーティションからIBM Navigator for iのheritageバージョンを永久に削除することで解決できます。
heritageバージョンを削除するための IBM i PTF 番号は次のとおりです。 HTTP Server の将来のグループ PTF には、この CVE の jar ファイルを削除する修正は含まれません。
| IBM i リリース | 5770-DG1 HTTP Server for i PTF |
PTF ダウンロードリンク |
|---|---|---|
| 7.4 | SI82995, SI82996 |
https://www.ibm.com/support/pages/ptf/SI82995 https://www.ibm.com/support/pages/ptf/SI82996 |
| 7.3 | SI82997, SI82998 |
https://www.ibm.com/support/pages/ptf/SI82997 https://www.ibm.com/support/pages/ptf/SI82998 |
| 7.2 | SI83098, SI83099 |
https://www.ibm.com/support/pages/ptf/SI83098 https://www.ibm.com/support/pages/ptf/SI83099 |
IBM Navigator for i – heritageバージョンはlog4j v1.xを使用しており、log4j v2.xに更新することも使用から削除することもできません。
この問題は、IBM Navigator for iのheritageバージョンの使用を中止することで緩和されます。この緩和により、Admin2の構成からheritageバージョンが削除され、Admin2はデフォルトで起動するようになりました。 事前の緩和策では、ADMIN2サーバー(ヘリテージNavigatorが実行される場所)がユーザーの操作なしで起動し実行されることを無効にしていました。さらに、userdataランタイムキャッシュファイル(log4jへの参照が見つかる場所)は、この修正によって削除されました。 この問題は、IBM iにPTFを適用することで軽減することができます。 IBM iのリリース7.4、7.3、および7.2が緩和されます。
改善/修正セクションの指示に従ってheritage Navigatorを永久的に削除することが強く推奨されますが、必要な主要機能がある場合は、heritage Navigatorを有効にして自己責任で一時的に開始することができます。 そのためには、以下の指示を参照してください:https://www.ibm.com/support/pages/heritage-navigator-enable-and-disable-instructions
| IBM i リリース | 5770-DG1 IBM HTTP Server for i グループPTF – レベル |
PTF ダウンロードリンク |
|---|---|---|
| 7.4 | SF99662 – 26 | SF99662 740 IBM HTTP Server for i |
| 7.3 | SF99722 – 43 | SF99722 730 IBM HTTP Server for i |
| 7.2 | SF99713 – 52 | SF99713 720 IBM HTTP Server for i |
詳細/原文
Security Bulletin: IBM i components are affected by CVE-2021-4104 (log4j version 1.x)
https://www.ibm.com/support/pages/node/6539162
2022/03/31追記
Db2 Web Query for i について新たな脆弱性情報が公開になりました。
脆弱性の詳細については、Apache Commons Compress (CVE-2021-36090), Apache Log4j (CVE-2021-44832), TIBCO WebFOCUS (CVE-2021-35493) に脆弱性が存在することが判明しました。Apache Commons Compress は、Db2 Web Query で、変更管理によるパッケージのインポートとエクスポート、または管理コンソールによるログファイルなど、オブジェクトの圧縮と解凍に使用されています。Apache Log4j は、Db2 Web Query for i の一部のコンポーネントで、ログと診断トレースを生成するために使用されます。TIBCO WebFOCUS は、Db2 Web Query for i の基盤となるベース製品として使用されます。
IBM Db2 Web Query for i V2.2.0, V2.2.1, V2.3.0
Apache Commons Compress (CVE-2021-36090)
Apache Log4j (CVE-2021-44832)
IBCO WebFOCUS (CVE-2021-35493)
V2.2.0 は、IBM i OSのレベルに応じてV2.2.1 またはV2.3.0へアップグレード
| OSバージョン | 対応策 |
|---|---|
| IBM i 7.4 | Db2 Web Query for i 2.3.0へアップグレード |
| IBM i 7.3 | Db2 Web Query for i 2.3.0へアップグレード |
| IBM i 7.2 | Db2 Web Query for i 2.2.1へアップグレード |
| IBM i 7.1 | Db2 Web Query for i 2.2.1へアップグレード |
PTFは、プロダクトID 5733WQXに適用されます。
グループPTF番号と修正プログラムを適用した最小レベルは次の通りです。
| 対象リリース | グループPTFとレベル |
|---|---|
| Db2 Web Query for i 2.3.0 w/ IBM i 7.4 | SF99654 level 5 |
| Db2 Web Query for i 2.3.0 w/ IBM i 7.3 | SF99533 level 5 |
| Db2 Web Query for i 2.2.1 w/ IBM i 7.4 | SF99653 level 13 |
| Db2 Web Query for i 2.2.1 w/ IBM i 7.3 | SF99433 level 13 |
| Db2 Web Query for i 2.2.1 w/ IBM i 7.2 | SF99434 level 13 |
| Db2 Web Query for i 2.2.1 w/ IBM i 7.1 | SF99435 level 13 |
詳細は以下をご参照ください。
Security Bulletin: IBM Db2 Web Query for i is vulnerable to denial of service in Apache Commons Compress (CVE-2021-36090), arbitrary code execution in Apache Log4j (CVE-2021-44832), and cross-site scripting in TIBCO WebFOCUS (CVE-2021-35493)
https://www.ibm.com/support/pages/node/6567195?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E
2022/03/17追記
IBM i のlog4j 脆弱性への対応について、追加情報が発表されました。
IAS/IWSにおけるlog4j脆弱性については下記3月2日追記の欄にてお知らせの通り、IAS v7.1/V8.1ならびにIWS v1.3/v1.5はlog4j v1.xを利用しております。解決策としてはIAS v8.5、IWS v2.6にアップデートすることなのですが、サポート終了したIBM i 7.1/7.2で該当のIAS/IWS 旧バージョンを利用している場合の公式サポート・ステートメントが公開になりました。
IBM i 7.1/7.2を延長保守サポートにて継続利用されている方は下記のURLに掲載の内容をご確認ください。
Official Support Statement – IBM Integrated Web Services (IWS) and Integrated Application Server (IAS) servers on the IBM i OS
https://www.ibm.com/support/pages/official-support-statement-ibm-integrated-web-services-iws-and-integrated-application-server-ias-servers-ibm-i-os
Support for IAS Versions 7.1 & 8.1 and IWS Versions 1.3 & 1.5
https://www.ibm.com/support/pages/node/666227?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E
2022/03/11追記
IBM i のlog4j 脆弱性への対応について、追加情報が発表されました。
OmniFind Text Search Server for DB2 for i のコンポーネントの一部において、Apache Log4j v1 がログや診断トレースを生成するために使用されていることが判明しました。IBM は Apache Log4j を削除することで OmniFind Text Search Server for DB2 for i の脆弱性に対処しています。
| 影響を受ける製品 | 対象バージョン |
|---|---|
| OmniFind Text Search Server for DB2 for i | V1R5M0 V1R4M0 V1R3M0 |
この問題は、IBM i に PTF を適用することによって修正できます。 OmniFind Text Search Server for DB2 for iのリリースV1R5M0(7.4)、V1R4M0(7.3)、およびV1R3M0(7.2)は以下のPTFによって修正されます。
| OmniFind Text Search Server for DB2 for i Release | IBM i Release | PTF Number |
|---|---|---|
| V1R5M0 | 7.4 | SI78753 SI78754 SI78755 |
| V1R4M0 | 7.3 | SI78756 SI78757 SI78758 |
| V1R3M0 | 7.2 | SI78751 SI78759 SI78760 SI78761 |
Security Bulletin: Due to use of Apache Log4j, OmniFind Text Search Server for DB2 for i is vulnerable to arbitrary code execution (CVE-2021-4104)
https://www.ibm.com/support/pages/node/6562237?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E
2022/03/02追記
IBM i のlog4j 脆弱性への対応について、追加情報が発表されました。
Security Bulletin: IBM i components are affected by CVE-2021-4104 (log4j version 1.x)
https://www.ibm.com/support/pages/node/6539162?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E
IBM i の複数のサブコンポーネントが log4j バージョン v1.x のファイルを出荷しており、脆弱性の詳細セクションで説明されている問題に対して脆弱性があります。
IBM Navigator for i – heritage version は log4j v1.x を使用し、log4j v2.x に更新することができません。CVE は IBM Navigator for i の heritage version を使用しないことによって軽減できます。
Integrated Web Services Server (IWS) V2.6 には log4j v1.x パッケージへの未使用リファレンスが含まれています。
IBM i 7.2 – Integrated Application Server (IAS) V7.1 & V8.1 および Integrated Web Services Server (IWS) V1.3 & V1.5 は log4j v1.x を使用しており、 log4j v2.x に更新することができません。
IBM i Access Client Solutions (ACS) バージョン 1.1.8.6 およびそれ以前には、未使用の log4j v1.x jar ファイルが含まれていました。
| 影響を受ける製品 | バージョン | 対処法 |
|---|---|---|
| IBM Navigator for i (旧バージョン) | IBM i 7.4, 7.3, and 7.2 (heritage version) | 新バージョンのNavigator for i へ移行 |
| Integrated Web Services Server (IWS) | IBM i 7.4, 7.3, and 7.2 – V2.6 IBM i 7.2 – V1.3 and V1.5 |
IBM i 7.3/7.4にはPTF提供、7.2については上記URL参照 |
| Integrated Application Server (IAS) | IBM i 7.2 – V7.1 and V8.1 | 上記URL参照 |
| IBM i Access Client Solutions | 1.1.8.6 and earlier | 1.1.8.7へ移行 |
上記コンポーネントに対する対応方法の詳細につきましては、上記URLをご参照ください。
2021年12月21日
Javaのログ出力ライブラリー「Apache Log4j」で、遠隔から任意のコードを実行される恐れのある深刻な脆弱性(CVE-2021-44228 )が報告され、JPCERT コーディネーションセンター(JPCERT/CC)が12月11日、この脆弱性を悪用する攻撃を日本で確認したとして緊急で注意喚起 を発したという報道がなされています。
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
IBM製品でもソフトウェア製品を中心に多くの製品で影響を受ける可能性があり、IBMでは
https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/
にて以下の表明が発信されています(一部抜粋、編集部訳)。
IBM は、この問題の重要性と、できるだけ早くすべての IBM 製品に対して完全な対応を行う必要があることを理解しています。IBM の開発チームは、この脆弱性の調査を完了し、必要に応じて是正するために、24 時間体制で取り組んでいます。
<中略>IBMのソフトウェアやシステム製品に影響がある場合、改善策や修正プログラムが利用可能になり次第、このIBM PSIRTブログ、またはIBM ZおよびLinuxOne Security Portalのいずれかに掲示される予定です。このようなオンプレミス IBM 製品は、関連するセキュリティ情報内の定義に従って、顧客によって更新される必要があります。
国内では12月14日付でIBM PartnerWorldより以下のご案内が発信されています。
【IBM】IBM Product Security Incident : Java 「Apache Log4j」のセキュリティリスクへの対応のお知らせ
———————————————————————–
Javaのログ出力ライブラリである「Apache Log4j」についてセキュリティ・ リスクが表面化しました。(Log4j zero day vulnerability)
該当する場合は、以下のリンクを御参照の上必要なご対応をお願いします。
詳細はこちら(英語): https://www.ibm.com/blogs/psirt/
———————————————————————–肝心なIBM i 関連製品への影響ですが、代表的なものとしてIBM iをお使いのユーザーでもおなじみの以下の製品では影響を受けるとして情報発信がされています。
- IBM Db2 Web Query for i
https://www.ibm.com/blogs/psirt/?s=IBM+Db2+Web+Query+for+i+log4j - IBM Power Hardware Management Console (HMC)
https://www.ibm.com/blogs/psirt/?s=IBM+Power+Hardware+Management+Console+(HMC)+log4j - IBM WebSphere Application Server
https://www.ibm.com/blogs/psirt/?s=IBM+WebSphere+Application+Server+log4j
上述の製品リストを含む「影響を受ける製品」、加えて「影響を受けない製品」リストが以下のURLにて公開されています。3月11日現在Power関連では以下の製品群が「影響を受けない」とされています。
※影響を受けない製品群(抜粋) as of 3/2
- HATS (Host Access Transformation Services)
- HOD (Host On-Demand)
- IBM Application Runtime Expert for i
- IBM Backup, Recovery and Media Services for i
- IBM Db2 Mirror for i
- IBM i Access Client Solutions
- IBM i Access Family
- IBM i Access Family – Access for Web
- IBM i Advanced DBCS Printer Support
- IBM i Advanced Function Printing
- IBM i Advanced Job Scheduler
- IBM i AFP DBCS Fonts
- IBM i AFP Font Collection
- IBM i AFP Fonts
- IBM i Business Graphics Utility
- IBM i CICS
- IBM i Communications Utilities
- IBM i Cryptographic Device Manager
- IBM i Db2 Query Manager and SQL Development Kit
- IBM i Db2 UDB Extenders
- IBM i Developer Kit for Java
- IBM I Facsimile Support
- IBM i HTTP Server
- IBM i InfoPrint Designer
- IBM i InfoPrint Fonts
- IBM i InfoPrint Server
- IBM i Integrated Domino Facsimile
- IBM i Job Scheduler
- IBM i Managed System Services
- IBM i Network Authentication Enablement
- IBM i Performance Tools
- IBM i Portable Utilities
- IBM i Query
- IBM i Rational Application Management Toolset
- IBM i Rational Development Studio
- IBM i Rational Open Access, RPG Edition
- IBM i System Manager
- IBM i System/38 Utilities
- IBM i TCP/IP Utilities
- IBM i Transform Services
- IBM i Universal Manageability Enablement
- IBM i WebSphere Development Studio
- IBM i XML Toolbox
- IBM PowerHA System Mirror for i
- PCOMM (Personal Communications)
- *Power firmware*
- *PowerHA*
- PowerSC
- *PowerVC*
- PowerVM Hypervisor
- PowerVM VIOS
- Rational Developer for i
上記のリストは以下のサイトに掲載されている膨大なリストのなかから、IBM i 関連の代表的な製品を編集部にて抜粋・転記したもので、編集部としてその内容を保証するものではありません。
このリストは日々更新されているとのことですので、リスト完全版、最新版はぜひ一度下記URLからご確認ください。
https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/#list-of-products
該当する製品を利用している場合には、上記のサイト等を参照して速やかに提供されている修正プログラムを適用してください。 詳しくは、ソフトウェア・メンテナンス(SWMA)契約に基づき、IBMサポート窓口までお問い合わせください。
IBM製品のみならず、そのプラットフォーム上でベンダー製品を稼働させている場合には、各提供ベンダーにLog4jの脆弱性対応状況をお問い合わせください。 またユーザーが自社開発のJavaアプリケーションを稼働させている場合には、独自での対応が必要になりますのでご注意ください。
注意:
Heritage Navigatorを起動すると、userdataのキャッシュファイルが再作成されるため、手動で削除する必要があります。詳細は上記リンクに記載されています。
この緩和策を含む IBM i PTF 番号は以下のとおりです。 HTTP Server の将来のグループ PTF にも、この CVE の緩和策が含まれる予定です。