MENU

複数のIBM i製品で「Log4j バージョン1.x」の脆弱性が発覚 ~Navigator for iやACS、IWS、IASなど。IBMが対処を推奨

IBMは4月7日、IBM iの複数の製品でLog4j 1.xの脆弱性がある、と発表した。

IBM iの複数のサブコンポーネントではlog4jを使用している。Log4jの脆弱性については2021年秋以降に顕在化した時点で当サイトでもレポートしたが(こちら)、IBMではいくつかのサブコンポーネントで、問題のある「Log4j バージョン1.x」が依然として使用されているのがわかったとして、あらためて警告と対処をよびかけている。

Log4jの脆弱性は、サイバー攻撃者がLog4jの設定への書き込みアクセス権を持っている場合、システム上で任意のコードを実行できる可能性があるというもの。

今回IBMが発表したLog4j 1.xの影響を受ける製品は、以下のとおり。

・IBM Navigator for i (ヘリテージ・バージョン) IBM i 7.3・7.4で稼働
・IBM Navigator for i (ヘリテージ・バージョン) IBM i 7.2(ヘリテージ・バージョン)で稼働
・Integrated Web Server (IWS) IBM i 7.3・7.4上で稼働
・Integrated Web Server (IWS) IBM i 7.2- IWS V2.6上、- V1.3 and V1.5で稼働
・Integrated Application Server (IAS) IBM i 7.2 – V7.1 and V8.1で稼働
・IBM i Access Client Solutions 1.1.8.6以前

CVE番号は、CVE-2021-4104で、ベーススコアは8.1(重要)となっている。

◎対処法

IBM Navigator for i (ヘリテージ・バージョン) IBM i 7.3・7.4で稼働
IBM Navigator for i (ヘリテージ・バージョン) IBM i 7.2(ヘリテージ・バージョン)で稼働

対処法としては、上記バージョンの削除または緩和策適用の2とおりがある。

►削除

Log4j バージョン1.xを使用するIBM Navigator for i (ヘリテージ・バージョン)は、問題をfixしたlog4j v2.xへのアップデートや、Log4j バージョン1.xの削除はできない。そのため、上記OSバージョンで稼働するIBM Navigator for i (ヘリテージ・バージョン)を削除することで対処でる。

ヘリテージ・バージョンを削除するためのPTFは以下のとおり。ただし、HTTP Serverの将来のグループPTFには、このCVEのjarファイルを削除する修正は含まれない、という。

・IBM Navigator for i (ヘリテージ・バージョン) IBM i 7.3版:SI82997, SI82998
・IBM Navigator for i (ヘリテージ・バージョン) IBM i 7.4版:SI82995SI82996
・IBM Navigator for i (ヘリテージ・バージョン) IBM i 7.2(ヘリテージ・バージョン)版:SI83098, SI83099

►緩和策

Log4j バージョン1.xを使用するIBM Navigator for i (ヘリテージ・バージョン)の使用を中止するためのPTFは、以下のとおり。

・IBM Navigator for i (ヘリテージ・バージョン) IBM i 7.3版:SF99722 – 43
・IBM Navigator for i (ヘリテージ・バージョン) IBM i 7.4版:SF99662 – 26
・IBM Navigator for i (ヘリテージ・バージョン) IBM i 7.2(ヘリテージ・バージョン)版:SF99713 720

なお、上記の緩和策によるアプリケーションへの影響が懸念される場合については、一時的に「自己責任で開始できる」とし、以下の参照ページを挙げている。
https://www.ibm.com/support/pages/heritage-navigator-enable-and-disable-instructions

IBM i 7.3・7.4上で稼働するIntegrated Web Server (IWS) V2.6

PTFの適用で対処できる。PFTは以下。

・Integrated Web Server (IWS) IBM i 7.3版:SF99722 – 38
・Integrated Web Server (IWS) IBM i 7.4版:SF99662 – 19

IBM i 7.2上で稼働するIntegrated Web Server (IWS) および、Integrated Application Server (IAS) IBM i 7.2 – V7.1 and V8.1

上記IWSとIASはPTFの適用では対処できない。「リバティベースのサポート(V2.6)に移行することで、log4jの問題を解決できる」という。詳細は、https://www.ibm.com/support/pages/node/6539162 の説明を参照ください。

IBM i Access Client Solutions 1.1.8.6以前

Log4j バージョン1.xを使用するIBM i Access Client Solutions 1.1.8.6(および以前のバージョン)は、ACSバージョン1.1.8.7以降にアップグレードすることで修正できる。ACS最新バージョンの入手方法に関する詳細は、下記URL。
https://www.ibm.com/support/pages/ibm-i-access-client-solutions

◎ IBMの発表「Security Bulletin: IBM i components are affected by CVE-2021-4104 (log4j version 1.x)」
https://www.ibm.com/support/pages/node/6539162

[i Magazine・IS magazine]

新着

©2000-2022 i Magazine All rights Reserved.