Kritikus sérülékenységgel kapcsolatos bejelentés okozott izgalmat a karácsonyi időszakban az IBM License Metric Tool-t (ILMT) használó szervezetek számára. Az IBM jelezte, hogy az ILMT-t érinti az Apache Log4j 2 Java könyvtár biztonsági rése. A sérülékenységet a gyártó „kritikus” súlyosságúnak minősítette.
[Hogy mi a log4j könyvtár és mit takar a CVE-2021-44228 sérülékenység, arról további részletek az Apache Logging Services Project honlapján érhetők el.]
A biztonsági kockázat az ILMT 9.2.21.0 – 9.2.25.0 közötti verziónak VM Manager Tool komponensét érinti – valamennyi platformon. A gyártó ajánlása szerint a hivatalos javítást a legújabb ILMT 9.2.26.0 frissítése tartalmazza, telepítésével a Log4j 1.x könyvtár eltávolításra kerül a szerverről. A közlemény szerint ez a sebezhetőség mérséklésének előnyben részesített módja, vagyis a sebezhetőség ILMT szerver frissítésével elvileg megszűnik, de workaround megoldásként ajánlja a Log4j könyvtár manuális frissítését, vagy a Log4j könyvtár jelenlegi verziójának konfigurációs módosítását.
A log4j sérülékenységgel kapcsolatos bejelentés óta eltelt időszakban bebizonyosodott, hogy a legfrissebb verzió telepítése önmagában nem oldja meg a problémát, mivel a 2.15 verziószámú könyvtár éppúgy érintett, így a frissítés mellett minden esetben indokolt a 2.17-es verzió manuális telepítése.
A címben feltett kérdésre a válasz tehát az, hogy a sérülékenység megszüntetése érdekében, önmagában nem érdemes meglépni az ILMT verziófrissítését, mivel az önmagában nem oldja meg a problémát. Az ILMT legalább évi egyszeri frissítése mindenképp indokolt, azon túl compliant és hatékony licencmenedzsment csak egy up-to-date eszközzel lehetséges, az IBM licencelési feltételeiben is kötelezővé teszi a legújabb verzió folyamatos használatát.
Az IPR-Insights több kiemelt ügyfelének nyújt folyamatos IBM licencmenedzsment és licencoptimalizációs szolgáltatást, amelynek, amelynek egyik központi eleme az IBM License Metric Tool karbantartása.
Az ILMT használata nemcsak lehetőség, de az IBM licencszerződéseiben kikötött feltétel is. Ha érdekli miért fontos, tekintse meg legutóbbi IBM webinárunkat a SAM Pro Club előadássorozatból.
