2021/12/21
===2022/03/31追記============================================
Db2 Web Query for i について新たな脆弱性情報が公開になりました。
脆弱性の詳細については、Apache Commons Compress (CVE-2021-36090), Apache Log4j (CVE-2021-44832), TIBCO WebFOCUS (CVE-2021-35493) に脆弱性が存在することが判明しました。Apache Commons Compress は、Db2 Web Query で、変更管理によるパッケージのインポートとエクスポート、または管理コンソールによるログファイルなど、オブジェクトの圧縮と解凍に使用されています。Apache Log4j は、Db2 Web Query for i の一部のコンポーネントで、ログと診断トレースを生成するために使用されます。TIBCO WebFOCUS は、Db2 Web Query for i の基盤となるベース製品として使用されます。
◆対象
IBM Db2 Web Query for i V2.2.0, V2.2.1, V2.3.0
◆脆弱性が認められる対象コンポーネント
Apache Commons Compress (CVE-2021-36090)
Apache Log4j (CVE-2021-44832)
IBCO WebFOCUS (CVE-2021-35493)
◆対応方法
V2.2.0 は、IBM i OSのレベルに応じてV2.2.1 またはV2.3.0へアップグレード
| OSバージョン | 対応策 |
|---|---|
| IBM i 7.4 | Db2 Web Query for i 2.3.0へアップグレード |
| IBM i 7.3 | Db2 Web Query for i 2.3.0へアップグレード |
| IBM i 7.2 | Db2 Web Query for i 2.2.1へアップグレード |
| IBM i 7.1 | Db2 Web Query for i 2.2.1へアップグレード |
V2.2.1 ないしV2.3.0 を利用中の場合は以下のグループPTFを適用
PTFは、プロダクトID 5733WQXに適用されます。
グループPTF番号と修正プログラムを適用した最小レベルは次の通りです。
| 対象リリース | グループPTFとレベル |
|---|---|
| Db2 Web Query for i 2.3.0 w/ IBM i 7.4 | SF99654 level 5 |
| Db2 Web Query for i 2.3.0 w/ IBM i 7.3 | SF99533 level 5 |
| Db2 Web Query for i 2.2.1 w/ IBM i 7.4 | SF99653 level 13 |
| Db2 Web Query for i 2.2.1 w/ IBM i 7.3 | SF99433 level 13 |
| Db2 Web Query for i 2.2.1 w/ IBM i 7.2 | SF99434 level 13 |
| Db2 Web Query for i 2.2.1 w/ IBM i 7.1 | SF99435 level 13 |
詳細は以下をご参照ください。
Security Bulletin: IBM Db2 Web Query for i is vulnerable to denial of service in Apache Commons Compress (CVE-2021-36090), arbitrary code execution in Apache Log4j (CVE-2021-44832), and cross-site scripting in TIBCO WebFOCUS (CVE-2021-35493)
https://www.ibm.com/support/pages/node/6567195?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E
===3/31追記ここまで=====================================
===2022/03/17追記============================================IBM i のlog4j 脆弱性への対応について、追加情報が発表されました。
IAS/IWSにおけるlog4j脆弱性については下記3月2日追記の欄にてお知らせの通り、IAS v7.1/V8.1ならびにIWS v1.3/v1.5はlog4j v1.xを利用しております。解決策としてはIAS v8.5、IWS v2.6にアップデートすることなのですが、サポート終了したIBM i 7.1/7.2で該当のIAS/IWS 旧バージョンを利用している場合の公式サポート・ステートメントが公開になりました。
IBM i 7.1/7.2を延長保守サポートにて継続利用されている方は下記のURLに掲載の内容をご確認ください。
Official Support Statement – IBM Integrated Web Services (IWS) and Integrated Application Server (IAS) servers on the IBM i OS
https://www.ibm.com/support/pages/official-support-statement-ibm-integrated-web-services-iws-and-integrated-application-server-ias-servers-ibm-i-os
Support for IAS Versions 7.1 & 8.1 and IWS Versions 1.3 & 1.5
https://www.ibm.com/support/pages/node/666227?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E
===3/17追記ここまで============================================
===2022/03/11追記============================================IBM i のlog4j 脆弱性への対応について、追加情報が発表されました。
OmniFind Text Search Server for DB2 for i
OmniFind Text Search Server for DB2 for i のコンポーネントの一部において、Apache Log4j v1 がログや診断トレースを生成するために使用されていることが判明しました。IBM は Apache Log4j を削除することで OmniFind Text Search Server for DB2 for i の脆弱性に対処しています。
| 影響を受ける製品 | 対象バージョン |
|---|---|
| OmniFind Text Search Server for DB2 for i | V1R5M0 V1R4M0 V1R3M0 |
対処法/修正方法
この問題は、IBM i に PTF を適用することによって修正できます。 OmniFind Text Search Server for DB2 for iのリリースV1R5M0(7.4)、V1R4M0(7.3)、およびV1R3M0(7.2)は以下のPTFによって修正されます。
| OmniFind Text Search Server for DB2 for i Release | IBM i Release | PTF Number |
|---|---|---|
| V1R5M0 | 7.4 | SI78753 SI78754 SI78755 |
| V1R4M0 | 7.3 | SI78756 SI78757 SI78758 |
| V1R3M0 | 7.2 | SI78751 SI78759 SI78760 SI78761 |
Security Bulletin: Due to use of Apache Log4j, OmniFind Text Search Server for DB2 for i is vulnerable to arbitrary code execution (CVE-2021-4104)
https://www.ibm.com/support/pages/node/6562237?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E
===3/11追記ここまで============================================
===2022/03/02追記============================================
IBM i のlog4j 脆弱性への対応について、追加情報が発表されました。
Security Bulletin: IBM i components are affected by CVE-2021-4104 (log4j version 1.x)
https://www.ibm.com/support/pages/node/6539162?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E
—【要約】—
IBM i の複数のサブコンポーネントが log4j バージョン v1.x のファイルを出荷しており、脆弱性の詳細セクションで説明されている問題に対して脆弱性があります。
IBM Navigator for i – heritage version は log4j v1.x を使用し、log4j v2.x に更新することができません。CVE は IBM Navigator for i の heritage version を使用しないことによって軽減できます。
Integrated Web Services Server (IWS) V2.6 には log4j v1.x パッケージへの未使用リファレンスが含まれています。
IBM i 7.2 – Integrated Application Server (IAS) V7.1 & V8.1 および Integrated Web Services Server (IWS) V1.3 & V1.5 は log4j v1.x を使用しており、 log4j v2.x に更新することができません。
IBM i Access Client Solutions (ACS) バージョン 1.1.8.6 およびそれ以前には、未使用の log4j v1.x jar ファイルが含まれていました。
—【影響を受ける製品とバージョン】—
| 影響を受ける製品 | バージョン | 対処法 |
|---|---|---|
| IBM Navigator for i (旧バージョン) | IBM i 7.4, 7.3, and 7.2 (heritage version) | 新バージョンのNavigator for i へ移行 |
| Integrated Web Services Server (IWS) | IBM i 7.4, 7.3, and 7.2 – V2.6 IBM i 7.2 – V1.3 and V1.5 |
IBM i 7.3/7.4にはPTF提供、7.2については上記URL参照 |
| Integrated Application Server (IAS) | IBM i 7.2 – V7.1 and V8.1 | 上記URL参照 |
| IBM i Access Client Solutions | 1.1.8.6 and earlier | 1.1.8.7へ移行 |
上記コンポーネントに対する対応方法の詳細につきましては、上記URLをご参照ください。
===3/2追記ここまで============================================
Javaのログ出力ライブラリー「Apache Log4j」で、遠隔から任意のコードを実行される恐れのある深刻な脆弱性(CVE-2021-44228 )が報告され、JPCERT コーディネーションセンター(JPCERT/CC)が12月11日、この脆弱性を悪用する攻撃を日本で確認したとして緊急で注意喚起 を発したという報道がなされています。
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
IBM製品でもソフトウェア製品を中心に多くの製品で影響を受ける可能性があり、IBMでは
https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/
にて以下の表明が発信されています(一部抜粋、編集部訳)。
IBM ソフトウェアおよびシステム製品
IBM は、この問題の重要性と、できるだけ早くすべての IBM 製品に対して完全な対応を行う必要があることを理解しています。IBM の開発チームは、この脆弱性の調査を完了し、必要に応じて是正するために、24 時間体制で取り組んでいます。
<中略>IBMのソフトウェアやシステム製品に影響がある場合、改善策や修正プログラムが利用可能になり次第、このIBM PSIRTブログ、またはIBM ZおよびLinuxOne Security Portalのいずれかに掲示される予定です。このようなオンプレミス IBM 製品は、関連するセキュリティ情報内の定義に従って、顧客によって更新される必要があります。
国内では12月14日付でIBM PartnerWorldより以下のご案内が発信されています。
肝心なIBM i 関連製品への影響ですが、代表的なものとしてIBM iをお使いのユーザーでもおなじみの以下の製品では影響を受けるとして情報発信がされています。
2022年3月2日 URL変更
- IBM Db2 Web Query for i
https://www.ibm.com/blogs/psirt/?s=IBM+Db2+Web+Query+for+i+log4j - IBM Power Hardware Management Console (HMC)
https://www.ibm.com/blogs/psirt/?s=IBM+Power+Hardware+Management+Console+(HMC)+log4j - IBM WebSphere Application Server
https://www.ibm.com/blogs/psirt/?s=IBM+WebSphere+Application+Server+log4j
上述の製品リストを含む「影響を受ける製品」、加えて「影響を受けない製品」リストが以下のURLにて公開されています。3月11日現在Power関連では以下の製品群が「影響を受けない」とされています。
※影響を受けない製品群(抜粋) as of 3/2
- HATS (Host Access Transformation Services)
- HOD (Host On-Demand)
- IBM Application Runtime Expert for i
- IBM Backup, Recovery and Media Services for i
- IBM Db2 Mirror for i
- IBM i Access Client Solutions
- IBM i Access Family
- IBM i Access Family – Access for Web
- IBM i Advanced DBCS Printer Support
- IBM i Advanced Function Printing
- IBM i Advanced Job Scheduler
- IBM i AFP DBCS Fonts
- IBM i AFP Font Collection
- IBM i AFP Fonts
- IBM i Business Graphics Utility
- IBM i CICS
- IBM i Communications Utilities
- IBM i Cryptographic Device Manager
- IBM i Db2 Query Manager and SQL Development Kit
- IBM i Db2 UDB Extenders
- IBM i Developer Kit for Java
- IBM I Facsimile Support
- IBM i HTTP Server
- IBM i InfoPrint Designer
- IBM i InfoPrint Fonts
- IBM i InfoPrint Server
- IBM i Integrated Domino Facsimile
- IBM i Job Scheduler
- IBM i Managed System Services
- IBM i Network Authentication Enablement
- IBM i Performance Tools
- IBM i Portable Utilities
- IBM i Query
- IBM i Rational Application Management Toolset
- IBM i Rational Development Studio
- IBM i Rational Open Access, RPG Edition
- IBM i System Manager
- IBM i System/38 Utilities
- IBM i TCP/IP Utilities
- IBM i Transform Services
- IBM i Universal Manageability Enablement
- IBM i WebSphere Development Studio
- IBM i XML Toolbox
- IBM PowerHA System Mirror for i
- PCOMM (Personal Communications)
- *Power firmware*
- *PowerHA*
- PowerSC
- *PowerVC*
- PowerVM Hypervisor
- PowerVM VIOS
- Rational Developer for i
上記のリストは以下のサイトに掲載されている膨大なリストのなかから、IBM i 関連の代表的な製品を編集部にて抜粋・転記したもので、編集部としてその内容を保証するものではありません。
このリストは日々更新されているとのことですので、リスト完全版、最新版はぜひ一度下記URLからご確認ください。
https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/#list-of-products
該当する製品を利用している場合には、上記のサイト等を参照して速やかに提供されている修正プログラムを適用してください。 詳しくは、ソフトウェア・メンテナンス(SWMA)契約に基づき、IBMサポート窓口までお問い合わせください。
IBM製品のみならず、そのプラットフォーム上でベンダー製品を稼働させている場合には、各提供ベンダーにLog4jの脆弱性対応状況をお問い合わせください。 またユーザーが自社開発のJavaアプリケーションを稼働させている場合には、独自での対応が必要になりますのでご注意ください。
