続報-6|12月17日付け新規追加は30製品、「影響を受けない製品」は計350、「修正済み」は計110 ~IBMがLog4j脆弱性情報をアップデート

IBMから、Log4jの脆弱性の影響を受ける製品について、下記が発表されている(現地12月17日現在)。最新情報は、IBMサイト「Critical Severity」ページで確認できる。

また、脆弱性の影響を受けない製品については「Critical Severity」ページに随時掲載される「An update on the Apache Log4j CVE-2021-44228 vulnerability」の後半に記載されている。

12月17日現在(現地時間)、「脆弱性の影響を受けない製品」として、64のクラウドサービスと289の製品がリストされている。また、「脆弱性を修正した製品」として、36のクラウドサービスと73の製品が挙げられている。

– IBMサイト「Critical Severity」ページ
https://www.ibm.com/blogs/psirt/category/severity-critical/

– An update on the Apache Log4j CVE-2021-44228 vulnerability
https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/

◎Log4jの脆弱性の影響を受けるIBM製品と対処法

・IBM Business Automation Workflow
バージョンV18.0.0.0.2、V19.0、V20.0、V21.0
https://www.ibm.com/blogs/psirt/security-bulletin-apache-log4j-vulnerability-affects-ibm-business-automation-workflow-cve-2021-44228/
*IBM Business Automation Workflowに同梱の Process Federation Server(PFS)に、log4jに起因する脆弱性がある。この脆弱性は、PFSが使用する ElasticSearchクライアントライブラリに含まれている。ElasticSearchの脆弱性を持つライブラリは、オフラインのドキュメントにも同梱されている。

・IBM Cloud Application Performance Monitoring(Base Private、Advanced Private)
バージョン8.1.4
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-cve-2021-44228-affects-the-ibm-performance-management-product/

・IBM Watson Discovery for IBM Cloud Pak for Data
Watson Discoveryバージョン2.0.0~2.2.1、4.0.0~4.0.3
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-watson-discovery-for-ibm-cloud-pak-for-data-affected-by-vulnerability-in-apache-log4j-3/

・Decision Optimization for Cloud Pak for Data
バージョン4.0.x
https://www.ibm.com/blogs/psirt/security-bulletin-log4jshell-vulnerability-affects-decision-optimization-for-cloud-pak-for-data-cve-2021-44228/

・Automation Assets in IBM Cloud Pak for Integration (CP4I)
バージョン2021.2.1、同2021.4.1
https://www.ibm.com/blogs/psirt/security-bulletin-automation-assets-in-ibm-cloud-pak-for-integration-is-vulnerable-to-log4j-cve-2021-44228/

・IBM Financial Transaction Manager for Digital Payments (DP)
バージョン3.2.3.0ifix 2、同3.2.4.0 ifix 6、同3.2.5.0 ifix 3、同3.2.6.1 ifix 4、同3.2.7.0 ifix 1、
https://www.ibm.com/blogs/psirt/security-bulletin-financial-transaction-manager-is-affected-by-a-vulnerability-in-apache-log4j-cve-2021-44228/

・IBM Financial Transaction Manager for Corporate Payment Services (CPS)
バージョン3.2.4.0 ifix 2、同3.2.4.0 ifix 6、同3.2.4.0 ifix 9
https://www.ibm.com/blogs/psirt/security-bulletin-financial-transaction-manager-is-affected-by-a-vulnerability-in-apache-log4j-cve-2021-44228/

・IBM Cloud Pak for Automation
バージョン21.0.2-IF006以前の全バージョン
https://www.ibm.com/blogs/psirt/security-bulletin-apache-log4j-vulnerability-affects-ibm-cloud-pak-for-automation-cve-2021-44228/

・IBM Watson Assistant for IBM Cloud Pak for Data
バージョン1.5.0、4.0.0、4.0.2
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-cve-2021-44228-may-affect-ibm-watson-assistant-for-ibm-cloud-pak-for-data/

・Watson Knowledge Catalog InstaScan
バージョン1.1.6以前の全バージョン
https://www.ibm.com/blogs/psirt/security-bulletin-log4jshell-vulnerability-affects-watson-knowledge-catalog-instascan-cve-2021-44228/

・IBM MaaS360 Enterprise Gateway Module
バージョン2.105.200以前の全バージョン
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-cve-2021-44228-affects-maas360-enterprise-gateway/

・IBM Engineering Systems Design Rhapsody
バージョン8.4、9.0、9.0.1
https://www.ibm.com/blogs/psirt/security-bulletin-apache-log4j-cve-2021-44228-vulnerability-in-ibm-engineering-systems-design-rhapsody-rhapsody/

・IBM Spectrum Protect Operations Center
バージョン7.1.0.000~7.1.14.000、同8.1.0.000~8.1.13.000
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-operations-center-cve-2021-44228-2/

・IBM Sterling Global High Availability Mailbox
バージョン6.0.3~6.1.1.0
https://www.ibm.com/blogs/psirt/security-bulletin-apache-log4j-vulnerability-affects-ibm-sterling-global-mailbox-cve-2021-44228/

・Content Collector for Email
バージョン4.0.x
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-content-collector-for-email-cve-2021-44228/

・IBM Spectrum Archive Enterprise Edition
バージョン1.3.0.0~1.3.2.1
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-archive-enterprise-edition-cve-2021-44228/

・IBM Spectrum Protect Snapshot for Windows
バージョン8.1.7.0~8.1.13.0
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-snapshot-on-windows-cve-2021-44228/

・IBM Tivoli Storage FlashCopy Manager for Windows
バージョン4.1.6.10~4.1.6.x
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-snapshot-on-windows-cve-2021-44228/

・IBM Cloud Pak for Integration
バージョン2019.3~2021.4
https://www.ibm.com/blogs/psirt/security-bulletin-operations-dashboard-in-ibm-cloud-pak-for-integration-is-vulnerable-to-log4j-cve-2021-44228/

・Content Collector for Microsoft SharePoint
バージョン4.0.x
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-content-collector-for-microsoft-sharepointcve-2021-44228/

・Content Collector for File Systems
バージョン4.0.x
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-content-collector-for-file-systems-cve-2021-44228/

・IBM WebSphere Automation for IBM Cloud Pak for Watson AIOps
全バージョン
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-websphere-automation-for-ibm-cloud-pak-for-watson-aiops-cve-2021-44228/

・IBM Event Streams
バージョン2019.4.1~2019.4.4、同10.0.0~10.4.0
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-event-streams-cve-2021-44228/

・SPSS Collaboration and Deployment Services
バージョン8.3
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-collaboration-and-deployment-services-cve-2021-44228/

・IBM App Connect Enterprise Certified Container
バージョン1.1-eus with Operator~3.0 with Operator
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-app-connect-enterprise-certified-container-designer-authoring-operands-and-integration-server-operands-that-use-the-jdbc-connector-may-be-vulnerable-to-remote-code-execution-due/

・IBM OpenPages with Watson
バージョン8.2.0.4
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-openpages-with-watson-has-addressed-security-vulnerability-in-apache-log4j-cve-2021-44228/

・IBM License Metric Tool
バージョン9.2.21.0~9.2.25.0
https://www.ibm.com/blogs/psirt/security-bulletin-security-vulnerability-has-been-identified-in-apache-log4j-library-shipped-with-ibm-license-metric-tool-v9-cve-2021-44228/

・IBM Elastic Storage System
バージョンV6.0.1.0~V6.0.2.3、同V6.1.0.0~V6.1.2.0
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-elastic-storage-system-cve-2021-44228/

・IBM Content Navigator
バージョン3.0 Continuous Delivery
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-content-navigator-container-deployments-are-vulnerable-to-a-remote-execution-vulnerability-log4j/

・IBM InfoSphere Information Server
バージョン11.7
https://www.ibm.com/blogs/psirt/security-bulletin-a-vulnerability-in-apache-log4j-affects-ibm-infosphere-information-server-cve-2021-44228/

 

◎関連記事

・Log4jの脆弱性を検証、NTTデータ先端技術がレポートを発表 ~「脆弱性の悪用が可能なことを確認」
・続報-5|SPSS、Sterling、Cloud Pak for Security、Cloud Pak for Data関連など多数 ~Log4j脆弱性の影響を受ける製品・サービスをIBMが発表
・続報-4|Log4j脆弱性に関する主な情報源 ~主要ベンダー、政府系セキュリティ機関、CMU CERT/CCなど
・続報-3|Db2(フェデレーション機能)、IBM COS、Cognos、QRadar、Guardiumなど多数 ~Log4j脆弱性の影響を受ける製品・サービスをIBMが発表
・Log4jの脆弱性、影響、修正方法に関するFAQ ~IBMのジェシー・ゴルジンスキー氏が解説
・続報-2|IBM MQ、Power HMC、IBM Sterling File Gatewayも ~Log4j脆弱性の影響を受ける製品をIBMが発表
・続報-1|SPSS、Netezza、NetcoolもLog4j脆弱性の影響を受ける ~IBMが最新情報を公開
・Javaベースのログ出力ライブラリ「Log4j」に深刻な脆弱性 ~WebSphereやWatson Explorerも影響を受ける、クラウドサービスも調査中とIBM。各社も調査・対応中

 

[i Magazine・IS magazine]

 

More Posts