IBMから、Log4jの脆弱性の影響を受ける製品について、下記が発表されている(現地12月16日現在)。最新情報は、IBMサイト「Critical Severity」ページで確認できる。
– IBMサイト「Critical Severity」ページ
https://www.ibm.com/blogs/psirt/category/severity-critical/
◎Log4jの脆弱性の影響を受けるIBM製品と対処法
・License Key Server (LKS) Administration、Reporting Tool (ART)、エージェント
バージョン9.0
https://www.ibm.com/blogs/psirt/security-bulletin-a-remote-attack-vulnerability-in-apache-log4j-affects-ibm-common-licensings-license-key-server-lks-administration-and-reporting-tool-art-and-its-agent/
・IBM Sterling Partner Engagement Manger
バージョン6.1~6.1.2.3、同6.2~6.2.0.1
https://www.ibm.com/blogs/psirt/security-bulletin-security-vulnerability-in-apache-log4j-affects-ibm-sterling-partner-engagement-manager-cve-2021-44228/
・SANnav
バージョン2.0.x、2.1.x
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-sannav-software-used-by-ibm-b-type-san-directors-and-switches/
・Tasktop Sync
バージョン4.20~4.28
https://www.ibm.com/blogs/psirt/security-bulletin-a-remote-attack-vulnerability-in-apache-log4j-affects-ibm-engineering-lifecycle-optimization-integration-adapters-tasktop-edition-and-tasktop-sync/
・IBM Engineering Lifecycle Optimization – Integration Adapters Tasktop Edition
バージョン1.2.0.12~1.2.0.20
https://www.ibm.com/blogs/psirt/security-bulletin-a-remote-attack-vulnerability-in-apache-log4j-affects-ibm-engineering-lifecycle-optimization-integration-adapters-tasktop-edition-and-tasktop-sync/
・IBM Sterling B2B Integrator
バージョン6.0.0.0~6.1.1.0
https://www.ibm.com/blogs/psirt/security-bulletin-apache-log4j-vulnerability-may-affect-ibm-sterling-b2b-integrator-cve-2021-44228/
・Cloud Pak for Security (CP4S)
バージョン1.7.2.0、1.8.0.0、1.8.1.0、1.9.0.0
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-cloud-pak-for-security-cve-2021-44228/
・IBM Sterling Connect:Direct File Agent
バージョン1.4
https://www.ibm.com/blogs/psirt/security-bulletin-apache-log4j-affects-ibm-sterling-connectdirect-file-agent-cve-2021-44228/
・IBM Data Risk Manager (IDRM)
バージョン2.0.6.9以前の全バージョン
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-data-risk-manager-cve-2021-44228/
・IBM Jazz for Service Management
バージョン1.1.3
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-jazz-for-service-management-is-vulnerable-to-a-apache-log4j-vulnerabilitycve-2021-44228/
・IBM SPSS Modeler
バージョン18.2.2、同18.3
https://www.ibm.com/blogs/psirt/security-bulletin-log4jshell-vulnerability-affects-ibm-spss-modeler-cve-2021-44228/
・IBM Operations Analytics – Log Analysis
バージョン1.3.5.3、1.3.6、1.3.6.1、1.3.7、1.3.7.1
https://www.ibm.com/blogs/psirt/security-bulletin-log4j-remote-code-execution-vulnerability-in-apache-solr-and-logstash-shipped-with-ibm-operations-analytics-log-analysis-cve-2021-44228/
・Cloud Pak for Data上のIBM Db2 On Openshift、同IBM Db2、同Db2 Warehouse
バージョン
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-some-features-of-ibm-db2-on-openshift-and-ibm-db2-and-db2-warehouse-on-cloud-pak-for-data-cve-2021-44228/
・Cloud Pak for Data 3.5上のIBM Db2、同Db2 Warehouse
Cloud Pak for Dataバージョン3.5
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-some-features-of-ibm-db2-on-openshift-and-ibm-db2-and-db2-warehouse-on-cloud-pak-for-data-cve-2021-44228/
*フェデレーション機能を利用する場合にLog4j脆弱性の影響を受ける。
・IBM Db2 on OpenShift
OpenShiftバージョンV11.5
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-some-features-of-ibm-db2-on-openshift-and-ibm-db2-and-db2-warehouse-on-cloud-pak-for-data-cve-2021-44228/
・IBM Sterling File Gateway
バージョン6.0.0.0~6.1.1.0
https://www.ibm.com/blogs/psirt/security-bulletin-apache-log4j-vulnerability-affects-ibm-sterling-file-gateway-cve-2021-44228-2/
・IBM Cloud Pak for Data System 2.0 – Openshift Container Platform 4
バージョン2.0.0.0~2.0.1.1
https://www.ibm.com/blogs/psirt/security-bulletin-log4j-vulnerability-affects-ibm-cloud-pak-for-data-system-2-0/
・IBM Cloud Pak for Data System 1.0 – Openshift Container Platform 3.11
バージョン1.0.0.0~1.0.7.7
https://www.ibm.com/blogs/psirt/security-bulletin-log4j-vulnerability-affects-ibm-cloud-pak-for-data-system-1-0/
・IBM Cloud Pak for Data System 1.0 – Cloud pak for data
バージョン1.0.0.0~1.0.7.7
https://www.ibm.com/blogs/psirt/security-bulletin-log4j-vulnerability-affects-ibm-cloud-pak-for-data-system-1-0/
・IBM Spectrum Protect Backup-Archive Client
バージョン7.1.0.0~7.1.8.12、同8.1.0.0~8.1.13.0
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-backup-archive-client-and-ibm-spectrum-protect-for-virtual-environments-cve-2021-44228/
・IBM Spectrum Protect for Virtual Environments: Data Protection for VMware
バージョン7.1.0.0~7.1.8.12、同8.1.0.0~8.1.13.0
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-backup-archive-client-and-ibm-spectrum-protect-for-virtual-environments-cve-2021-44228/
・IBM Spectrum Protect for Virtual Environments: Data Protection for Hyper-V
バージョン8.1.0.0~8.1.13.0
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-backup-archive-client-and-ibm-spectrum-protect-for-virtual-environments-cve-2021-44228/
・IBM Security Guardium
バージョン10.5、10.6、11.0、11.1、11.2、11.3、11.4
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-security-guardium-is-vulnerable-to-a-remote-code-execution-vulnerability-in-log4j2-component-2/
・Cúram Social Program Management
バージョン8.0.0.0~8.0.1.0
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-in-apache-log4j-may-affect-cram-social-program-management-cve-2021-44228-cve-2021-45046/
・IBM Tivoli Netcool Impact
バージョン7.1.0.18 – 7.1.0.24
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-tivoli-netcool-impact-cve-2021-44228/
・IBM InfoSphere Global Name Management
バージョン6.0
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-in-log4j-could-affect-name-analyzer-in-ibm-infosphere-global-name-management-cve-2021-44228/
◎関連記事
・続報-4|Log4j脆弱性に関する主な情報源 ~主要ベンダー、政府系セキュリティ機関、CMU CERT/CCなど
・続報-3|Db2(フェデレーション機能)、IBM COS、Cognos、QRadar、Guardiumなど多数 ~Log4j脆弱性の影響を受ける製品・サービスをIBMが発表
・Log4jの脆弱性、影響、修正方法に関するFAQ ~IBMのジェシー・ゴルジンスキー氏が解説
・続報-2|IBM MQ、Power HMC、IBM Sterling File Gatewayも ~Log4j脆弱性の影響を受ける製品をIBMが発表
・続報-1|SPSS、Netezza、NetcoolもLog4j脆弱性の影響を受ける ~IBMが最新情報を公開
・Javaベースのログ出力ライブラリ「Log4j」に深刻な脆弱性 ~WebSphereやWatson Explorerも影響を受ける、クラウドサービスも調査中とIBM。各社も調査・対応中
[i Magazine・IS magazine]