IBMは「Security Bulletin」ページで、Db2 Web Query for i 2.2.1と同2.3.0の一部のコンポーネントで使用しているLog4jに複数の脆弱性があることを発表した。
脆弱性は、JNDI Lookup機能の不備を悪用され任意のコードを実行される恐れのある「CVE-2021-44228」と、ロギング設定をデフォルト以外にしている場合の不備を悪用され攻撃されるおそれのある「CVE-2021-45046」の2つ。
IBMでは、この脆弱性に対処済みで、修正プログラム(グループPTF)の適用を強く推奨している。
修正プログラムを含むIBM iの各リリースおよび最小グループレベルのグループPTF番号は以下の通り。
グループPTFは以下からダウンロードできる。
https://www.ibm.com/support/fixcentral/
・「Security Bulletin: Multiple Vulnerabilities in Apache Log4j affect IBM Db2 Web Query for i」(英語)
https://www.ibm.com/support/pages/node/6529238
◎関連記事
・ラック、無料でLog4j脆弱性を診断、申込は12月24日まで ~「Webアプリケーションに対するリモート診断」と「緊急対策チェックシート」を提供
・続報-6|12月17日付け新規追加は30製品、「影響を受けない製品」は計350、「修正済み」は計110 ~IBMがLog4j脆弱性情報をアップデート
・Log4jの脆弱性を検証、NTTデータ先端技術がレポートを発表 ~「脆弱性の悪用が可能なことを確認」
・続報-5|SPSS、Sterling、Cloud Pak for Security、Cloud Pak for Data関連など多数 ~Log4j脆弱性の影響を受ける製品・サービスをIBMが発表
・続報-4|Log4j脆弱性に関する主な情報源 ~主要ベンダー、政府系セキュリティ機関、CMU CERT/CCなど
・続報-3|Db2(フェデレーション機能)、IBM COS、Cognos、QRadar、Guardiumなど多数 ~Log4j脆弱性の影響を受ける製品・サービスをIBMが発表
・Log4jの脆弱性、影響、修正方法に関するFAQ ~IBMのジェシー・ゴルジンスキー氏が解説
・続報-2|IBM MQ、Power HMC、IBM Sterling File Gatewayも ~Log4j脆弱性の影響を受ける製品をIBMが発表
・続報-1|SPSS、Netezza、NetcoolもLog4j脆弱性の影響を受ける ~IBMが最新情報を公開
・Javaベースのログ出力ライブラリ「Log4j」に深刻な脆弱性 ~WebSphereやWatson Explorerも影響を受ける、クラウドサービスも調査中とIBM。各社も調査・対応中
[i Magazine・IS magazine]