All About ACS: IBM i Access Client Solutions は Log4J の脆弱性の対象外
「Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起」「JVNDB-2021-005429 - Apache Log4j における任意のコードが実行可能な脆弱性」など、Log4J の脆弱性が騒がれています。
Java 関連の脆弱性なので ACS は大丈夫なの? と思われるかもしれません。
IBM から影響がないと確認できた製品や対応が完了したサービスの情報が発信されています
その中に「IBM i Access Client Solutions」が明記されています。
安心してご利用ください。
同様に PCOMM や HOD も脆弱性の対象外です。
HMC や WebQuery は対象に含まれます。
下記に IBM i 関連の Log4j 脆弱性情報をまとめました。
ACS 1.1.8.6 までは CVE-2021-4104 (log4j version 1.x) の影響を受ける(2022/01/11 追記)
CVE-2021-4104 (log4j version 1.x) の影響を受ける製品の情報が公開されました。
下記が影響を受ける製品に、1.1.8.6 までの ACS が含まれています。
- IBM i Access Client Solutions
- 1.1.8.6 and earlier
log4j 1.x は含まれていたが使われていなかったようです。対策は 1.1.8.7 以降への更新になります。
IBM i Access Client Solutions version 1.1.8.6 and earlier included an unused log4j v1.x jar file. The issue can be fixed by upgrading to ACS version 1.1.8.7 or later.
2021-12-22 作成
2022-01-22 「# ACS 1.1.8.6 までは CVE-2021-4104 (log4j version 1.x) の影響を受ける(2022/01/11 追記)」を記載
「All About ACS」では IBM i に対する新しいクライアント「IBM i Access Client Solutions」の情報をいろいろ提供していきます。
記事一覧はこちらで確認いたけます。
許可の無い転載を禁じます。
この記事は筆者の個人的な責任で無保証で提供しています。
当記事に関してIBMやビジネスパートナーに問い合わせることは、固くお断りします。