続報-3|Db2(フェデレーション機能)、IBM COS、Cognos、QRadar、Guardiumなど多数 ~Log4j脆弱性の影響を受ける製品・サービスをIBMが発表

IBMから、Log4jの脆弱性の影響を受ける製品について、下記が発表されている(現地12月15日現在)。最新情報は、IBMサイト「Critical Severity」ページに掲載で確認できる。

– IBMサイト「Critical Severity」ページ
https://www.ibm.com/blogs/psirt/category/severity-critical/

IBMのX-Forceは、アプリケーションやシステム上のLog4jを検出するためのスキャンツールを作成し、GitHub上で無償公開している(URLは下記)。
・Apache Log4jを検出するスキャンツール
https://github.com/xforcered/scan4log4shell

◎Log4jの脆弱性の影響を受けるIBM製品と対処法

・IBM Security Guardium
バージョン10.6、11.3、11.4
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-security-guardium-is-vulnerable-to-a-remote-code-execution-vulnerability-in-log4j2-component/

・IBM Security Access Manager for Enterprise Single Sign-On
バージョン8.2.2
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-security-access-manager-for-enterprise-single-sign-on-cve-2021-44228/

・IBM Spectrum Protect Client web user interface
バージョン8.1.7.0~8.1.13.0 (Linux、Windows)
バージョン8.1.9.0~8.1.13.0 (AIX)
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-client-web-user-interface-and-ibm-spectrum-protect-for-virtual-environments-cve-2021-44228/

・IBM Spectrum Protect for Virtual Environments: Data Protection for VMware
バージョン7.1.0.0~7.1.8.12、同8.1.0.0~8.1.13.0
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-client-web-user-interface-and-ibm-spectrum-protect-for-virtual-environments-cve-2021-44228/

・IBM Spectrum Protect for Virtual Environments: Data Protection for Hyper-V
バージョン8.1.4.0~8.1.13.0
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-client-web-user-interface-and-ibm-spectrum-protect-for-virtual-environments-cve-2021-44228/

・IBM Spectrum Protect Plus Container backup and restore for Kubernetes
バージョン10.1.9
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-plus-container-backup-and-restore-for-kubernetes-and-openshift-cve-2021-44228/

・IBM Spectrum Protect Plus Container backup and restore for OpenShift
バージョン10.1.9
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-plus-container-backup-and-restore-for-kubernetes-and-openshift-cve-2021-44228/

・IBM Spectrum Control
バージョン5.4.0~5.4.5
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-control-cve-2021-44228/

・IBM Spectrum Protect Operations Center
バージョン7.1.0.000~7.1.14.000、同8.1.0.000~8.1.13.000
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-operations-center-cve-2021-44228/

・IBM Spectrum Conductor
バージョン2.4.1~2.5.1
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-addressed-in-ibm-spectrum-conductor/
*Spectrum Conductorにワークアラウンドステップを適用する緩和策が提供されている。

・IBM Db2
バージョン11.5
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-some-features-of-ibm-db2-cve-2021-44228/
IBM Db2のApache Log4jオープンソースライブラリに脆弱性が存在する。同のライブラリは、下記のDb2フェデレーション機能で使用される。log4jライブラリの更新により対策を講じることができる。
 ・DVM JDBCラッパー・ドライバー
 ・NoSQLラッパードライバー (Hadoop用)
 ・ブロックチェーン・ラッパードライバー(Hyperledger Fabric用、Linux 64ビット、x86-64のみ)

・IBM Watson Explorer Deep Analytics Edition Foundational Components
バージョン12.0.0.0~12.0.3.7
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-exists-in-watson-explorer-cve-2021-44228-2/

・IBM Watson Explorer Deep Analytics Edition Analytical Components
バージョン12.0.0.0~12.0.3.7
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-exists-in-watson-explorer-cve-2021-44228-2/

・IBM Watson Explorer Deep Analytics Edition oneWEX
バージョン12.0.0.0~12.0.3.7
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-exists-in-watson-explorer-cve-2021-44228-2/

・IBM Watson Explorer Foundational Components
バージョン11.0.0.0~11.0.2.11
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-exists-in-watson-explorer-cve-2021-44228-2/

・IBM Watson Explorer Analytical Components
バージョン11.0.0.0~11.0.2.11
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-exists-in-watson-explorer-cve-2021-44228-2/

・IBM Security Access Manager
バージョン9.0.7.1
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-security-access-manager-9-0-7-1-and-ibm-security-verify-access-10-0-0-0-may-be-affected-by-the-log4j-vulnerability-cve-2021-44228-3/
*ワンタイム・パスワード・コンポーネントが影響を受ける。修正済みバージョンへの移行が必要

・IBM Security Verify Access
バージョン10.0.0.0
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-security-access-manager-9-0-7-1-and-ibm-security-verify-access-10-0-0-0-may-be-affected-by-the-log4j-vulnerability-cve-2021-44228-3/
*ワンタイム・パスワード・コンポーネントが影響を受ける。修正済みバージョンへの移行が必要

・IBM Cognos Analytics
バージョン11.0.x~11.2.x
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-cognos-analytics-apache-log4j-vulnerability-cve-2021-44228/

・IBM Cognos Controller
バージョン10.4.2
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-cognos-controller-10-4-2-if15-apache-log4j-vulnerability-cve-2021-44228/

・IBM Planning Analytics(コンポーネントのIBM Planning Analytics Workspaceが影響を受ける)
バージョン2.0.57以降の全バージョン
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-planning-analytics-workspace-apache-log4j-vulnerability-cve-2021-44228/

・IBM Sterling Transformation Extender
バージョン10.0.3.0、10.1.0.0、10.1.0.1、10.1.1.0
https://www.ibm.com/blogs/psirt/security-bulletin-apache-log4j-vulnerability-affects-ibm-transformation-extender-cve-2021-44228/

・IBM WebSphere Remote Serverのファミリー製品すべて
バージョン8.5、9.0
https://www.ibm.com/blogs/psirt/security-bulletin-a-security-vulnerability-has-been-identified-in-websphere-application-server-shipped-with-ibm-websphere-remote-server-cve-2021-44228/

・IBM WebSphere Hybrid Edition
WebSphere Application Server 8.5、同9.0
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-websphere-application-server-which-is-bundled-in-ibm-websphere-hybrid-edition-cve-2021-44228/

・QRadar User Behavior Analytics
全バージョン
https://www.ibm.com/blogs/psirt/security-bulletin-log4j-as-used-in-ibm-qradar-user-behavior-analytics-application-add-on-to-ibm-qradar-siem-is-vulnerable-to-remote-code-execution-rce-cve-2021-44228/
*IBM QRadar User Behavior AnalyticsアプリケーションをIBM QRadar SIEMにアドオンすることによる修正を紹介。

・IBM Application Navigator
全バージョン
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-application-navigator-is-vulnerable-to-an-remote-attacker-exploitation-of-apache-log4j-cve-2021-44228/

・IBM Cloud Object Storage Systems
バージョン3.16.0.47およびそれ以前の3.16.0リリース(長期サポートリリース)、バージョン3.16.1.39およびそれ以前の3.16.1リリース(アクティブリリース
https://www.ibm.com/blogs/psirt/security-bulletin-apache-log4j-vulnerabilities-affect-ibm-cloud-object-storage-systems-clevos-cve-2021-44228/
*脆弱性を悪用した攻撃の副作用として、外部ファイルのダウンロード、デバイスのハング、レイテンシーなどが発生する可能性がある。

 

◎関連記事

・Log4jの脆弱性、影響、修正方法に関するFAQ ~IBMのジェシー・ゴルジンスキー氏が解説
・続報-2|IBM MQ、Power HMC、IBM Sterling File Gatewayも ~Log4j脆弱性の影響を受ける製品をIBMが発表
・続報-1|SPSS、Netezza、NetcoolもLog4j脆弱性の影響を受ける ~IBMが最新情報を公開
・Javaベースのログ出力ライブラリ「Log4j」に深刻な脆弱性 ~WebSphereやWatson Explorerも影響を受ける、クラウドサービスも調査中とIBM。各社も調査・対応中

[i Magazine・IS magazine]

More Posts