Die Meldungen zu Log4j reißen nicht ab. Ein Kollege hat heute Morgen folgende weitere CVE 2021-45046 entdeckt:
https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046/
Laut Meldungen aus ADSM.org und unseren eigenen Recherchen sind wahrscheinlich nur Backup/Archive Client Installationen mit konfiguriertem WebClient und Spectrum Protect for Virtual Environments mit aktivem Web Server (vSphere Plugin) angreifbar.
Deshalb ist der einfachste Workaround: Temporäres Deaktivieren der WebClients und Beenden des TDP4VE Web Servers.
Web Client deaktivieren unter Windows
- Net stop „TSM Client Remote Agent” (Default Configuration) und den Dienst anschliessend auf Manuell stellen.
- https://www.ibm.com/docs/en/spectrum-protect/8.1.12?topic=overview-configuring-web-client-windows-systems
Web Client deaktivieren unter Unix/Linux
- In der dsm.sys die Zeile managedservices webclient schedule ändern auf:
Managedservices schedule
. - Und den dsmcad Daemon neu starten. https://www.ibm.com/docs/en/spectrum-protect/8.1.12?topic=wcco-configuring-web-client-aix-linux-mac-solaris-systems
Um den Spectrum Protect for Virtual Environments Web Server zu beenden
- Net stop “IBM Spectrum Protect for Virtual Environments Web Server”
- Oder Net stop IBMVEWebServer
Der Dienst sollte anschliessend auf manuell gestellt werden.
Folgender weiterer Workaround wurde mittlerweile auch auf adsm.org gepostet
Add the last line (-Dlog4j2.formatMsgNoLookups=true) in C:\IBM\SpectrumProtect\webserver\usr\servers\veProfile\jvm.options, so that it looks like this:
-Dlog4j2.formatMsgNoLookups=true
then restart "IBMWebserver".
Dieser Workaround funktioniert für Spectrum Protect Clients der Version 8.1.11 bis 8.1.13!
Allerdings ist aktuell wohl nur ein Update auf Log4j Version 2.16.0 eine permanente Lösung.
Hierzu müssen wir auf eine gefixte Spectrum Protect Client Version von IBM warten.
Wir informieren Sie weiter aktuell zu diesem Thema. Bei Fragen nehmen Sie gern Kontakt zu uns auf.
Ihr Empalis-Team