News
Abstract
この文書は Db2 に関する Security Bulletin などの重要情報の日本語の要約と、それらに関してテクニカルサポート によせられたQAのうち汎用性が高いものを掲載しています。
Content
文書利用上のご留意点:
- この文書の日本語訳は英語で記載された原文の解釈を補うためのものであり、直訳ではないため、詳細は原文も合わせてご確認ください。
- 脆弱性の詳細(発生条件、該当条件、回避策、緩和策等)を公開することは、それが攻撃方法の発見に繋がりかねないため、原文に記載されている以上の詳細の公開はできません。
- 脆弱性の問題は、すべての攻撃パスが明らかになっているわけではないため、製品として脆弱な部分を残したまま製品をご使用いただくよりは、修正を適用いただく事を推奨いたします。
- QAが記載されているものは、弊社テクニカルサポートにお問い合わせ頂いたものから汎用性が高いと考えられるものを掲載しています。
- 場合によっては公開後に原文の内容が変更になる場合もございます。タイムリーに気づくことができるように、 IBM My Notifications で通知を受けられる事を推奨いたします。
- 特に本文書に明記されていない限り、脆弱性に対する解決策は、個別修正の適用かその修正が含まれる累積修正の適用になります。詳細は原文をご参照ください。
- Db2 を含む IBM 製品の脆弱性レポートは IBM PSIRT Blog を参照してください。
Db2 の脆弱性および修正の一覧は以下のページを参照してください。
Published Security Vulnerabilities for DB2 for Linux, UNIX, and Windows including Special Build information
なお、後からリリースされた脆弱性の修正は、それ以前のすべての脆弱性の修正を含んでいます。このため、その時点で最新の修正のみ適用してください。
なお、後からリリースされた脆弱性の修正は、それ以前のすべての脆弱性の修正を含んでいます。このため、その時点で最新の修正のみ適用してください。
2022年4月5日
Db2 および Db2 にバンドルされている Tivoli SAMP および Spectrum Scale は Spring Framework を含んでおらず、CVE-2022-22963 や CVE-2022-22965 の影響を受けません。
CVEID: CVE-2021-44832
CVSS Base score: 6.6
発行日:
2022年1月24日
要約:
オープンソース・ライブラリーである Log4j は、リモートの攻撃者がシステム上で任意のコードを実行できる、もしくはサービス不能攻撃を可能にする脆弱性の影響を受けます。問題のライブラリーは Db2 の連合データベースで使用されています。
この脆弱性は Log4j ライブラリーを 2.17.1 以上に更新することで修正されます。
オープンソース・ライブラリーである Log4j は、リモートの攻撃者がシステム上で任意のコードを実行できる、もしくはサービス不能攻撃を可能にする脆弱性の影響を受けます。問題のライブラリーは Db2 の連合データベースで使用されています。
この脆弱性は Log4j ライブラリーを 2.17.1 以上に更新することで修正されます。
該当レベル:
IBM Db2 V11.5 サーバー・エディションのすべてのエディション、すべてのフィックスパック・レベル、すべてのプラットフォーム
かつ連合データベースで以下のラッパーを使用している場合
IBM Db2 V11.5 サーバー・エディションのすべてのエディション、すべてのフィックスパック・レベル、すべてのプラットフォーム
かつ連合データベースで以下のラッパーを使用している場合
- DVM JDBC wrapper driver,
- NoSQL wrapper driver (for Hadoop),
- Blockchain wrapper driver (for Hyperledger Fabric, Linux 64-bit, x86-64 のみ)
IBM Db2 V9.7, V10.1, V10.5 および V11.1 は影響を受けません。
連合データベースおよびラッパー使用有無の確認方法:
連合データベースを使用しているかどうかは以下のコマンドで確認できます。
連合データベースを使用しているかどうかは以下のコマンドで確認できます。
- インスタンス・オーナーで Db2 サーバーにログインし以下のコマンドを実行します。
db2 get dbm cfg | grep FEDERATED
FEDERATED=NO (デフォルト) の場合、連合データベース機能が無効なため、脆弱性の影響を受けません。FEDERATED=YES の場合、2. のラッパー使用有無を確認する必要があります。 - ラッパー使用の確認方法
各ラッパーを使っているかどうかは以下の SQL で確認できます。各データベースに接続後、以下の照会に 1 行以上返される場合はラッパーが登録されています。0 行が返る場合は使用されていません。- DVM JDBC wrapper driver:
db2 "select * from syscat.serveroptions where option = 'DRIVER_CLASS' and setting = 'com.rs.jdbc.dv.DvDriver'" - NoSQL hadoop wrapper:
db2 "select * from syscat.servers where servertype = 'HDFSPARQUET'" - NoSQL Blockchain wrapper:
db2 "select * from syscat.serveroptions where option='PEER_URL'"
- DVM JDBC wrapper driver:
修正版:
以下のページから V11.5.6 または V11.5.7 に対する special build をダウンロードして適用します。
Security Bulletin: Multiple vulnerabilities in Apache Log4j affects some features of IBM® Db2® (CVE-2021-45046, CVE-2021-45105)
CVEID: CVE-2021-45105
CVSS Base Score: 7.5
CVEID: CVE-2021-45046
CVSS Base Score: 9
発行日:
2021年12月21日
CVEID: CVE-2021-45105
CVSS Base Score: 7.5
CVEID: CVE-2021-45046
CVSS Base Score: 9
発行日:
2021年12月21日
要約:
オープンソース・ライブラリーである Log4j は、リモートの攻撃者がシステム上で任意のコードを実行できる、もしくはサービス不能攻撃を可能にする脆弱性の影響を受けます。問題のライブラリーは Db2 の連合データベースで使用されています。
この脆弱性は Log4j ライブラリーを 2.17.0 以上に更新することで修正されます。
オープンソース・ライブラリーである Log4j は、リモートの攻撃者がシステム上で任意のコードを実行できる、もしくはサービス不能攻撃を可能にする脆弱性の影響を受けます。問題のライブラリーは Db2 の連合データベースで使用されています。
この脆弱性は Log4j ライブラリーを 2.17.0 以上に更新することで修正されます。
該当レベル:
IBM Db2 V11.5 サーバー・エディションのすべてのエディション、すべてのフィックスパック・レベル、すべてのプラットフォーム
かつ連合データベースで以下のラッパーを使用している場合
IBM Db2 V11.5 サーバー・エディションのすべてのエディション、すべてのフィックスパック・レベル、すべてのプラットフォーム
かつ連合データベースで以下のラッパーを使用している場合
- DVM JDBC wrapper driver,
- NoSQL wrapper driver (for Hadoop),
- Blockchain wrapper driver (for Hyperledger Fabric, Linux 64-bit, x86-64 のみ)
IBM Db2 V9.7, V10.1, V10.5 および V11.1 は影響を受けません。
連合データベースおよびラッパー使用有無の確認方法:
連合データベースを使用しているかどうかは以下のコマンドで確認できます。
連合データベースを使用しているかどうかは以下のコマンドで確認できます。
- インスタンス・オーナーで Db2 サーバーにログインし以下のコマンドを実行します。
db2 get dbm cfg | grep FEDERATED
FEDERATED=NO (デフォルト) の場合、連合データベース機能が無効なため、脆弱性の影響を受けません。FEDERATED=YES の場合、2. のラッパー使用有無を確認する必要があります。 - ラッパー使用の確認方法
各ラッパーを使っているかどうかは以下の SQL で確認できます。各データベースに接続後、以下の照会に 1 行以上返される場合はラッパーが登録されています。0 行が返る場合は使用されていません。- DVM JDBC wrapper driver:
db2 "select * from syscat.serveroptions where option = 'DRIVER_CLASS' and setting = 'com.rs.jdbc.dv.DvDriver'" - NoSQL hadoop wrapper:
db2 "select * from syscat.servers where servertype = 'HDFSPARQUET'" - NoSQL Blockchain wrapper:
db2 "select * from syscat.serveroptions where option='PEER_URL'"
- DVM JDBC wrapper driver:
修正版:
以下のページから V11.5.6 または V11.5.7 に対する special build をダウンロードして適用します。
Security Bulletin: Multiple vulnerabilities in Apache Log4j affects some features of IBM® Db2® (CVE-2021-45046, CVE-2021-45105)
Security Bulletin: Multiple vulnerabilities in Apache Log4j affects some features of IBM® Db2® (CVE-2021-45046, CVE-2021-45105)
Security Bulletin: Vulnerability in Apache Log4j affects some features of IBM® Db2® (CVE-2021-4104)
CVEID: CVE-2021-4104
発行日:
2021年12月20日
CVEID: CVE-2021-4104
発行日:
2021年12月20日
要約:
オープンソース・ライブラリーである Log4j は、リモートの攻撃者がシステム上で任意のコードを実行できる脆弱性の影響を受けます。この報告書は Log4j 2.0 未満 (1.x) が対象です。このバージョンの Log4j ライブラリーは ECM (Text Search) および Db2 11.1 の Hadoop ラッパーで使用されています。
なお CVE-2021-44228 で報告された問題は Log4j 2.0 から 2.15.0 が対象であり、この文書の対象外です。
オープンソース・ライブラリーである Log4j は、リモートの攻撃者がシステム上で任意のコードを実行できる脆弱性の影響を受けます。この報告書は Log4j 2.0 未満 (1.x) が対象です。このバージョンの Log4j ライブラリーは ECM (Text Search) および Db2 11.1 の Hadoop ラッパーで使用されています。
なお CVE-2021-44228 で報告された問題は Log4j 2.0 から 2.15.0 が対象であり、この文書の対象外です。
該当レベル:
IBM Db2 V10.5, V11.1 および V11.5 サーバー・エディションのすべてのエディション、すべてのフィックスパック・レベル、すべてのプラットフォーム
かつ以下の機能を使用している場合
IBM Db2 V10.5, V11.1 および V11.5 サーバー・エディションのすべてのエディション、すべてのフィックスパック・レベル、すべてのプラットフォーム
かつ以下の機能を使用している場合
- ECM (Text Search Server)
このうち、Db2 11.1 のみ連合データベースの Hadoop ラッパーを使用している場合も該当します。(2022/6/7 更新)
Hadoop ラッパーの使用有無の確認方法は CVE-2021-44832 などを参照してください。
Hadoop ラッパーの使用有無の確認方法は CVE-2021-44832 などを参照してください。
IBM Db2 V9.7, 10.1 は影響を受けません。
Install Manager は脆弱性の影響を受けないことが確認されたため、当セキュリティ報告書の記述から削除されました。(2021/12/24 更新)
Install Manager は脆弱性の影響を受けないことが確認されたため、当セキュリティ報告書の記述から削除されました。(2021/12/24 更新)
修正版:
以下のページから special build をダウンロードして適用します。
Security Bulletin: Vulnerability in Apache Log4j affects some features of IBM® Db2® (CVE-2021-4104)
以下のページから special build をダウンロードして適用します。
Security Bulletin: Vulnerability in Apache Log4j affects some features of IBM® Db2® (CVE-2021-4104)
回避策及び緩和策:
- Linux または Unix 版
- インスタンス・オーナーとしてログインし、TextSearch を停止します。
db2ts stop for text - 以下のいずれかの方法で JMSAppender.class ファイルを除去します。
いずれも、カレント・ディレクトリーに log4j-1.2.17.jar があると仮定しています。
a) zip コマンドが利用可能な場合
zip -d log4j-1.2.17.jar org/apache/log4j/net/JMSAppender.class
b) jar コマンドが利用可能な場合
mkdir tmp
cd tmp
jar xvf ../log4j-1.2.17.jar
rm org/apache/log4j/net/JMSAppender.class
jar cvf ../log4j-1.2.17-patched.jar . - TextSearch を再開します。
db2ts start for text
- インスタンス・オーナーとしてログインし、TextSearch を停止します。
- Windows 版
- 管理者としてログオンして「DB2 コマンド ウィンドウ - 管理者」を開き TextSearch を停止します。
db2ts stop for text - db2tss ディレクトリーに移動します。
例
cd /d "C:\Program Files\IBM\SQLLIB\db2tss\lib" - Log4j jar をバックアップします。
copy log4j-1.2.17.jar log4j-1.2.17.jar.bak - 一時ディレクトリーを作成し、修正した log4j-1.2.17.jar を作成します。
mkdir tmp
cd tmp
..\..\..\java\jdk\bin\jar xvf ..\log4j-1.2.17.jar
del org\apache\log4j\net\JMSAppender.class
..\..\..\java\jdk\bin\jar xvf ..\log4j-1.2.17-patched.jar - 修正したファイルで log4j-1.2.17.jar を置き換えます。
cd ..
del log4j-1.2.17.jar
ren log4j-1.2.17-patched.jar log4j-1.2.17.jar - TextSearch を再開します。
db2ts start for text
- 管理者としてログオンして「DB2 コマンド ウィンドウ - 管理者」を開き TextSearch を停止します。
訳注:
Text Search が起動しているかどうかは以下のコマンドで確認できます。起動していない場合、コマンドは結果を返しません。
- Unix および Linux
ps -ef | grep java | grep db2tss - Windows
sc query | findstr DB2TS
CVEID: CVE-2021-44228
CVSS Base Score: 10
CVSS Base Score: 10
発行日:
2021年12月15日
要約:
オープンソース・ライブラリーである Log4j は、リモートの攻撃者がシステム上で任意のコードを実行できる脆弱性の影響を受けます。問題のライブラリーは Db2 の連合データベースで使用されています。
この脆弱性は Log4j ライブラリーを 2.15.0 以上に更新することで修正されます。なお CVE-2021-4104 で報告された問題も 2.15.0 以上で同様に修正されます。
オープンソース・ライブラリーである Log4j は、リモートの攻撃者がシステム上で任意のコードを実行できる脆弱性の影響を受けます。問題のライブラリーは Db2 の連合データベースで使用されています。
この脆弱性は Log4j ライブラリーを 2.15.0 以上に更新することで修正されます。なお CVE-2021-4104 で報告された問題も 2.15.0 以上で同様に修正されます。
該当レベル:
IBM Db2 V11.5 サーバー・エディションのすべてのエディション、すべてのフィックスパック・レベル、すべてのプラットフォーム
かつ連合データベースで以下のラッパーを使用している場合
IBM Db2 V11.5 サーバー・エディションのすべてのエディション、すべてのフィックスパック・レベル、すべてのプラットフォーム
かつ連合データベースで以下のラッパーを使用している場合
DVM JDBC wrapper driver,
NoSQL wrapper driver (for Hadoop),
Blockchain wrapper driver (for Hyperledger Fabric, Linux 64-bit, x86-64 のみ)
NoSQL wrapper driver (for Hadoop),
Blockchain wrapper driver (for Hyperledger Fabric, Linux 64-bit, x86-64 のみ)
IBM Db2 V9.7, V10.1, V10.5 および V11.1 は影響を受けません。
修正版:
以下のページから V11.5.6 または V11.5.7 に対する special build をダウンロードして適用します。
以下のページから V11.5.6 または V11.5.7 に対する special build をダウンロードして適用します。
Security Bulletin: Vulnerability in Apache Log4j affects some features of IBM® Db2® (CVE-2021-44228)
回避策及び緩和策:
SYSADM 権限のユーザーで以下のコマンドを実行します。
SYSADM 権限のユーザーで以下のコマンドを実行します。
db2stop
db2set DB2_JVM_STARTARGS="-Dlog4j2.formatMsgNoLookups=true"
db2start
db2set DB2_JVM_STARTARGS="-Dlog4j2.formatMsgNoLookups=true"
db2start
連合データベースおよびラッパー使用有無の確認方法:
連合データベースを使用しているかどうかは以下のコマンドで確認できます。
- インスタンス・オーナーで Db2 サーバーにログインし以下のコマンドを実行します。
db2 get dbm cfg | grep FEDERATED
FEDERATED=NO (デフォルト) の場合、連合データベース機能が無効なため、脆弱性の影響を受けません。
FEDERATED=YES の場合、2. のラッパー使用有無を確認する必要があります。 - ラッパー使用の確認方法
各ラッパーを使っているかどうかは以下の SQL で確認できます。各データベースに接続後、以下の照会に 1 行以上返される場合はラッパーが登録されています。0 行が返る場合は使用されていません。
DVM JDBC wrapper driver:db2 "select * from syscat.serveroptions where option = 'DRIVER_CLASS' and setting = 'com.rs.jdbc.dv.DvDriver'"
NoSQL hadoop wrapper:db2 "select * from syscat.servers where servertype = 'HDFSPARQUET'"
NoSQL Blockchain wrapper:db2 "select * from syscat.serveroptions where option='PEER_URL'"
訳注:
- log4j の jar ファイルの削除
*log4j*.jar を手動で除去して脆弱性を解消できますが、将来の Db2 フィックスパック適用やアップグレードが失敗する可能性があります。このため jar ファイルを除去する場合、元に戻せるようにバックアップが必要です。
Db2 コンテナ版については以下のページを参照してください。
- For Docker (Db2wh)
Security Bulletin: Vulnerability in Apache Log4j affects IBM Db2® Warehouse (CVE-2021-44228) - For OpenShift and Cloud Pack for Data (Db2u)
Security Bulletin: Vulnerability in Apache Log4j affects some features of IBM® Db2® On Openshift and IBM® Db2® and Db2 Warehouse® on Cloud Pak for Data (CVE-2021-44228)
[{"Type":"MASTER","Line of Business":{"code":"LOB10","label":"Data and AI"},"Business Unit":{"code":"BU058","label":"IBM Infrastructure w\/TPS"},"Product":{"code":"SSEPGG","label":"Db2 for Linux, UNIX and Windows"},"ARM Category":[{"code":"a8m500000008PmrAAE","label":"Security and Plug-Ins-\u003ESecurity Vulnerability"}],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"10.1.0;10.5.0;11.1.0;11.5.0;9.7.0"}]
Was this topic helpful?
Document Information
Modified date:
15 August 2023
UID
ibm16526470