Heute Nacht hat IBM die Security Bulletins aller betroffenen Spectrum Protect Komponenten veröffentlicht. Wie vermutet, ist der Spectrum Protect Web Client und die Web GUI von Spectrum Protect for VE betroffen:
Security Bulletin
Vulnerability in Apache Log4j affects IBM Spectrum Protect Client Web User Interface and IBM Spectrum Protect for Virtual Environments (CVE-2021-44228)
https://www.ibm.com/support/pages/node/6527080?myns=swgtiv&mynp=OCSSEQVQ&mync=E&cm_sp=swgtiv-_-OCSSEQVQ-_-E
In der obigen Security Bulletin ist auch der Local Fix enthalten, er besteht darin, die Log4j Binaries auszutauschen.
Folgende Produkte aus der Spectrum Protect Familie sind ebenfalls betroffen
- Security Bulletin: Vulnerability in Apache Log4j affects IBM Spectrum Protect Operations Center (CVE-2021-44228)
https://www.ibm.com/support/pages/node/6527084?myns=s033&mynp=OCSSER5J&mync=E&cm_sp=s033-_-OCSSER5J-_-E - Security Bulletin: Vulnerability in Apache Log4j affects IBM Spectrum Protect Plus Container Backup and Restore for Kubernetes and OpenShift (CVE-2021-44228)
https://www.ibm.com/support/pages/node/6527090?myns=s033&mynp=OCSSNQFQ&mync=E&cm_sp=s033-_-OCSSNQFQ-_-E
Wir empfehlen, entgegen der IBM Dokumentation direkt auf Version 2.16.0 zu gehen, da dort auch CVE 2021-45046 mit gefixt ist.
Der Download für Log4j kann hier gefunden werden:
https://logging.apache.org/log4j/2.x/download.html
Die Empalis unterstützt Sie gerne bei der Umsetzung der Local Fixes oder bei weiteren Fragen.