Apache Log4j脆弱性のIBM i への影響 | IBM i 総合情報サイト

Apache Log4j脆弱性のIBM i への影響


Apache Log4j脆弱性のIBM i への影響

2021/12/21

Javaのログ出力ライブラリー「Apache Log4j」で、遠隔から任意のコードを実行される恐れのある深刻な脆弱性(CVE-2021-44228 )が報告され、JPCERT コーディネーションセンター(JPCERT/CC)が12月11日、この脆弱性を悪用する攻撃を日本で確認したとして緊急で注意喚起 を発したという報道がなされています。
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html

IBM製品でもソフトウェア製品を中心に多くの製品で影響を受ける可能性があり、IBMでは
https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/

にて以下の表明が発信されています(一部抜粋、編集部訳)。

IBM ソフトウェアおよびシステム製品

IBM は、この問題の重要性と、できるだけ早くすべての IBM 製品に対して完全な対応を行う必要があることを理解しています。IBM の開発チームは、この脆弱性の調査を完了し、必要に応じて是正するために、24 時間体制で取り組んでいます。

<中略>IBMのソフトウェアやシステム製品に影響がある場合、改善策や修正プログラムが利用可能になり次第、このIBM PSIRTブログ、またはIBM ZおよびLinuxOne Security Portalのいずれかに掲示される予定です。このようなオンプレミス IBM 製品は、関連するセキュリティ情報内の定義に従って、顧客によって更新される必要があります。

国内では12月14日付でIBM PartnerWorldより以下のご案内が発信されています。

———————————————————————–
【IBM】IBM Product Security Incident : Java 「Apache Log4j」のセキュリティリスクへの対応のお知らせ
———————————————————————–
Javaのログ出力ライブラリである「Apache Log4j」についてセキュリティ・
リスクが表面化しました。(Log4j zero day vulnerability)

該当する場合は、以下のリンクを御参照の上必要なご対応をお願いします。

詳細はこちら(英語): https://www.ibm.com/blogs/psirt/
———————————————————————–

肝心なIBM i 関連製品への影響ですが、代表的なものとしてIBM iをお使いのユーザーでもおなじみの以下の製品では影響を受けるとして情報発信がされています。

上述の製品リストを含む「影響を受ける製品」、加えて「影響を受けない製品」リストが以下のURLにて公開されています。12月18日現在Power関連では以下の製品群が「影響を受けない」とされています。

https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/#list-of-products

※影響を受けない製品群(抜粋) as of 12/18

  • HATS (Host Access Transformation Services)
  • HOD (Host On-Demand)
  • IBM Application Runtime Expert for i
  • IBM Backup, Recovery and Media Services for i
  • IBM Db2 Mirror for i
  • IBM i Access Client Solutions
  • IBM i Access Family
  • IBM i Access Family – Access for Web
  • IBM i Advanced DBCS Printer Support
  • IBM i Advanced Function Printing
  • IBM i Advanced Job Scheduler
  • IBM i AFP DBCS Fonts
  • IBM i AFP Font Collection
  • IBM i AFP Fonts
  • IBM i Business Graphics Utility
  • IBM i CICS
  • IBM i Communications Utilities
  • IBM i Cryptographic Device Manager
  • IBM i Db2 Query Manager and SQL Development Kit
  • IBM i Db2 UDB Extenders
  • IBM i Developer Kit for Java
  • IBM I Facsimile Support
  • IBM i HTTP Server
  • IBM i InfoPrint Designer
  • IBM i InfoPrint Fonts
  • IBM i InfoPrint Server
  • IBM i Integrated Domino Facsimile
  • IBM i Job Scheduler
  • IBM i Managed System Services
  • IBM i Network Authentication Enablement
  • IBM i Performance Tools
  • IBM i Portable Utilities
  • IBM i Query
  • IBM i Rational Application Management Toolset
  • IBM i Rational Development Studio
  • IBM i Rational Open Access, RPG Edition
  • IBM i System Manager
  • IBM i System/38 Utilities
  • IBM i TCP/IP Utilities
  • IBM i Transform Services
  • IBM i Universal Manageability Enablement
  • IBM i WebSphere Development Studio
  • IBM i XML Toolbox
  • IBM PowerHA System Mirror for i
  • OmniFind Text Search Server for DB2 for i
  • PCOMM (Personal Communications)
  • PowerSC
  • PowerVM Hypervisor
  • PowerVM VIOS
  • Rational Developer for i

上記のリストは以下のサイトに掲載されている膨大なリストのなかから、IBM i 関連の代表的な製品を編集部にて抜粋・転記したもので、編集部としてその内容を保証するものではありません。

このリストは日々更新されているとのことですので、リスト完全版、最新版はぜひ一度下記URLからご確認ください。

https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/#list-of-products

該当する製品を利用している場合には、上記のサイト等を参照して速やかに提供されている修正プログラムを適用してください。
詳しくは、ソフトウェア・メンテナンス(SWMA)契約に基づき、IBMサポート窓口までお問い合わせください。

IBM製品のみならず、そのプラットフォーム上でベンダー製品を稼働させている場合には、各提供ベンダーにLog4jの脆弱性対応状況をお問い合わせください。
またユーザーが自社開発のJavaアプリケーションを稼働させている場合には、独自での対応が必要になりますのでご注意ください。

Copyright © IGUAZU