Log4j 脆弱性 IBM i 関連情報まとめ
「Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起」「JVNDB-2021-005429 - Apache Log4j における任意のコードが実行可能な脆弱性」など、Log4J の脆弱性が騒がれています。
ここでは、IBM i 関連に対する Log4j 脆弱性の情報をまとめます。
脆弱性について
Log4j の脆弱性は「CVE-2021-44228」が騒がれましたが、そのあと「CVE-2021-45046」「CVE-2021-45105」が出ています。
脆弱性の対象となる製品の場合、どのCVEまでの修正が提供されているのか、確認が必要です。「CVE-2021-45105」に対応した修正が提供されてない場合、新たな修正が提供される可能性があります。
CVE-2021-44228
最初に騒がれたやつです。
Log4j 2.15.0 で修正されています。
CVE-2021-45046
Log4j 2.16.0 で修正されています。
CVE-2021-45105
Log4j 2.17.0 で修正されています。
(補足) CVE-2021-4104
「CVE-2021-4104」というのも見つかりますが、Apache でのサポートは終了した Log4j 1.x をJMSAppende で利用する時の特有の物のようです。 Log4j 2.x を利用している場合は該当しないはずです。
2022/01/11 追記 CVE-2021-4104 の影響を受ける製品の情報が公開されました。下記「CVE-2021-4104 (log4j version 1.x) の影響を受ける製品 (2022/01/11 追記)」を参照してください。
CVE-2021-44228 に該当しても CVE-2021-45105 等に該当しない場合もあり
もっとも、「CVE-2021-45105」対応の修正が出ないからといって脆弱性が残っているというわけではありません。
「CVE-2021-45105」に対応した修正が出ないのは該当しないから…というケースもあります。
このドキュメントはわかりやすいです。「CVE-2021-44228」には該当するけど、それ以降の CVE には該当しないと明記してあります。他の製品も見習ってほしいです。まあ、情報を作成したタイミングなのかもしれませんが。
Concerning CVE-2021-44228, License Metric Tool is affected. See the details below.
Concerning CVE-2021-4104, License Metric Tool is not affected as it is not using JMSAppender.
Concerning CVE-2021-45046, License Metric Tool is not affected as it is not using affected patterns in Pattern Layout.
Concerning CVE-2021-45105, License Metric Tool is not affected as it is not using affected patterns in Pattern Layout.
HMC - 影響あり
HMC は対象です。下記をご覧ください。
2022/01/05 追記 。「Modified date:04 January 2022」との記載があります。「Change History」には記載がありませんが、念のため内容を再確認されてもいいかもしれません。
IBM Db2 Web Query for i - 影響あり
IBM Db2 Web Query for i は対象です。下記をご覧ください。
2022/01/05 追記。CVE-2021-45105 に対応した新しい修正が出ています
2022/01/31 追記。2.2.0 向けの情報が発行されました
2.2.1 または 2.3.0 に更新し、最新のグループPTFを適用するようにというガイドです。
以前の情報はこちら。CVE-2021-44228, CVE-2021-45046 に対応したものです。
WebSphere Application Server (WAS) - 影響あり
WebSphere Application Server (WAS) は対象です。下記をご覧ください。
2022/01/05 追記 CVE-2021-45105 に対応した新しい修正が出ています
これまでの情報
- Security Bulletin: Multiple vulnerabilities in Apache log4j affect the IBM WebSphere Application Server and IBM WebSphere Application Server Liberty (CVE-2021-4104, CVE-2021-45046)
- Security Bulletin: Vulnerability in Apache Log4j affects WebSphere Application Server (CVE-2021-44228)
- Vulnerability in Apache Log4j affects WebSphere Application Server (CVE-2021-44228 CVSS 10.0)
- CVE-2021-44228 Apache Log4j version 2.x脆弱性のWebSphere Application Serverへの影響について・まとめ
IBM Content Manager OnDemand for i - 導入オプション次第? (2022/01/05 追記)
Multi Platform 向けの IBM Content Manager OnDemand に対して Log4j 脆弱性の情報が発行されました。
- Is IBM Content Manager OnDemand (CMOD) Version 10.5 impacted by the log4j security vulnerabilities related to CVE-2021-44228, CVE-2021-44832, CVE-2021-45046, and CVE-2021-45105?
- Is IBM Content Manager OnDemand (CMOD) Version 10.1 impacted by the log4j security vulnerabilities related to CVE-2021-44228, CVE-2021-44832, CVE-2021-45046, and CVE-2021-45105?
「for i」の情報は明記されていないのですが「Cross-reference information」に「for i」も掲載されていたので、少し調査しました。
5770RD1 *BASE しか導入されていない環境
find /QIBM/ProdData/OnDemand -name log4j*
導入先に Log4j 関連ファイルは見つかりませんでした。
5770RD1 *BASE に加えて、PDF Indexer が導入されている環境
find /QIBM/ProdData/OnDemand -name log4j*
いくつかの Log4j 関連ファイルが見つかりました。
Content Manager OnDemand for i の場合、追加オプションは有料だったり、日本語対応していなかったりで、追加オプションまで使っているお客様は少ないかもしれませんが、Content Manager OnDemand for i をご利用の場合、環境を確認し Technote の対応をしてもよいかもしれません。
※ Content Manager OnDemand for i は独立した PA 製品で、 IBM i SWMA の対象製品ではありません。IBM 製品サポートへの問い合わせには Content Manager OnDemand for i 自体の PA 契約が必要です。
OmniFind Text Search Server for DB2 for i - 影響あり (2022/03/10 追記)
OmniFind Text Search Server for DB2 for i は対象です。
「CVE-2021-4104」なので Log4j v1 の脆弱性ですね。
記載の PTF で修正されます。
CVE-2021-4104 (log4j version 1.x) の影響を受ける製品 (2022/01/11 追記)
CVE-2021-4104 (log4j version 1.x) の影響を受ける製品の情報が公開されました。
下記が影響を受けると記されています。
- IBM Navigator for i (heritage version only)
- IBM i 7.4, 7.3, and 7.2 (heritage version)
- Integrated Web Services Server (IWS)
- IBM i 7.4, 7.3, and 7.2 - V2.6
- IBM i 7.2 - V1.3 and V1.5
- Integrated Application Server (IAS)
- IBM i 7.2 - V7.1 and V8.1
- IBM i Access Client Solutions
- 1.1.8.6 and earlier
2022/03/08 追記 - ここから
「Security Bulletin: IBM i components are affected by CVE-2021-4104 (log4j version 1.x)」が 2022/03/02 に更新されていました。
HTTP Server group PTF のレベルが 2022/03/01 に更新されたので、Security Bulletin に記載の HTTP Server group PTF レベルも更新したようです。
2022/03/08 追記 - ここまで
影響のない IBM i 関連製品
下記で影響がないと確認できた製品や対応が完了したサービスの情報が発信されています
リストは随時更新されます。最新版は上記のリンクで確認ください。
2121/12/22 現在のリストから IBM i 関連のものを抜粋します。
- HATS (Host Access Transformation Services)
- HOD (Host On-Demand)
- IBM Application Runtime Expert for i
- IBM Db2 Mirror for i
- IBM i Access Client Solutions
- IBM i Access Family
- IBM i Access Family – Access for Web
- IBM i Advanced DBCS Printer Support
- IBM i Advanced Function Printing
- IBM i Advanced Job Scheduler
- IBM i AFP DBCS Fonts
- IBM i AFP Font Collection
- IBM i AFP Fonts
- IBM i Business Graphics Utility
- IBM i CICS
- IBM i Communications Utilities
- IBM i Cryptographic Device Manager
- IBM i Db2 Query Manager and SQL Development Kit
- IBM i Db2 UDB Extenders
- IBM i Developer Kit for Java
- IBM I Facsimile Support
- IBM i HTTP Server
- IBM i InfoPrint Designer
- IBM i InfoPrint Fonts
- IBM i InfoPrint Server
- IBM i Integrated Domino Facsimile
- IBM i Job Scheduler
- IBM i Managed System Services
- IBM i Network Authentication Enablement
- IBM i Performance Tools
- IBM i Portable Utilities
- IBM i Query
- IBM i Rational Application Management Toolset
- IBM i Rational Development Studio
- IBM i Rational Open Access, RPG Edition
- IBM i System Manager
- IBM i System/38 Utilities
- IBM i TCP/IP Utilities
- IBM i Transform Services
- IBM i Universal Manageability Enablement
- IBM i WebSphere Development Studio
- IBM i XML Toolbox
- IBM PowerHA System Mirror for i
- IBM Sterling Connect:Direct for i5/OS
- OmniFind Text Search Server for DB2 for i
- PCOMM (Personal Communications)
- PowerSC
- PowerVC
- PowerVM Hypervisor
- PowerVM VIOS
- Rational Developer for i
エミュレーター製品は個別に非該当であるとの情報も出ています。
- How Apache Log4J Security Vulnerabilities affect IBM Host Access Transformation Services?
- How Apache Log4J Security Vulnerabilities affect IBM HACP Extended Edition?
- [How Apache Log4J Security Vulnerabilities affect IBM Host On-demand?]
(https://www.ibm.com/support/pages/node/6526562) - How Apache Log4J Security Vulnerabilities affect IBM Personal Communications
情報を得る
IBM PSIRT Blog
IBM 製品サービスの脆弱性情報は IBM PSIRT Blog で発信されます。新しい情報はこちらを確認してください。
My notifications
My notifications は自分の関心のある製品について技術文書が作成されたときにメールで知らせてくれるサービスです。
登録方法は下記をご覧ください。
2021-12-22 作成・公開
2021-12-22 WAS の情報を追記
2021-12-22 WAS のURLを追加、どれが最新か確認
2021-12-22 「脆弱性について」のセクションを追加
2021-12-22「(補足) CVE-2021-4104」を追記
2021-12-22「CVE-2021-44228 に該当しても CVE-2021-45105 等に該当しない場合もあり」を追記
2022-01-05 WebQuery と WAS に対して CVE-2021-45105 対応の情報を記載。HMC の更新日の注意を記載
2022-01-05 「IBM Content Manager OnDemand for i - 導入オプション次第? (2022/01/05 追記)」を追記
2022-01-11 「CVE-2021-4104 (log4j version 1.x) の影響を受ける製品 (2022/01/11 追記)」を追記
2022-01-31 WebQuery 2.2.0 向けの情報を追記
2022/03/08 Security Bulletin: IBM i components are affected by CVE-2021-4104 (log4j version 1.x) の更新を追記
2022/03/10 「OmniFind Text Search Server for DB2 for i - 影響あり (2022/03/10 追記)」を追記
許可の無い転載を禁じます。
この記事は筆者の個人的な責任で無保証で提供しています。
当記事に関してIBMやビジネスパートナーに問い合わせることは、固くお断りします。