News2. Update: Zweite Sicherheitslücke zu Log4j - erweiterte Hilfen und Notfallmaßnahmen Apache Log4j CVE-2021-44228 und CVE 2021-45046 - 15.12.2021 11:00 Uhr

Markus Stumpf — 15. Dezember 2021
Lesezeit: 1:01 Minuten

2. Update 15.12.2021, 11 Uhr

Wahrscheinlich nur Backup/Archive Client Installationen mit konfiguriertem WebClient und Spectrum Protect for Virtual Environments mit aktivem Web Server (vSphere Plugin) angreifbar

2. Update mit erweiterten Hilfen zu Notfallmaßnahmen: Apache Log4j CVE-2021-44228 vulnerability in Bezug auf Spectrum Protect

Die Meldungen zu Log4j reißen nicht ab. Ein Kollege hat heute Morgen folgende weitere CVE 2021-45046 entdeckt:
https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046/

Laut Meldungen aus ADSM.org und unseren eigenen Recherchen sind wahrscheinlich nur Backup/Archive Client Installationen mit konfiguriertem WebClient und Spectrum Protect for Virtual Environments mit aktivem Web Server (vSphere Plugin) angreifbar.

Deshalb ist der einfachste Workaround: Temporäres Deaktivieren der WebClients und Beenden des TDP4VE Web Servers.

Web Client deaktivieren unter Windows:

Web Client deaktivieren unter Unix/Linux:

Um den Spectrum Protect for Virtual Environments Web Server zu beenden:

  • Net stop “IBM Spectrum Protect for Virtual Environments Web Server”
  • Oder Net stop IBMVEWebServer

Der Dienst sollte anschliessend auf manuell gestellt werden.

Folgender weiterer Workaround wurde mittlerweile auch auf adsm.org gepostet:

Add the last line (-Dlog4j2.formatMsgNoLookups=true) in C:\IBM\SpectrumProtect\webserver\usr\servers\veProfile\jvm.options, so that it looks like this:

-Dlog4j2.formatMsgNoLookups=true

then restart "IBMWebserver".

Dieser Workaround funktioniert für Spectrum Protect Clients der Version 8.1.11 bis 8.1.13!

Allerdings ist aktuell wohl nur ein Update auf Log4j Version 2.16.0 eine permanente Lösung.

Hierzu müssen wir auf eine gefixte Spectrum Protect Client Version von IBM warten.

Wir informieren Sie weiter aktuell zu diesem Thema. Bei Fragen nehmen Sie gern Kontakt zu uns auf.

Ihr Empalis-Team

Hier geht es zum vorigen Artikel dieser News-Serie zum Thema Log4j: