NewsUpdate: Aktuelle Sicherheitslücken in IBM Spectrum Protect und Spectrum Protect Plus schließen: Neue Security Bulletins

Christian Biermann — 16. März 2022
Lesezeit: 1:25 Minuten

Aktuelle Sicherheitslücken in IBM Spectrum Protect schließen

IBM hat Ende der letzten Woche neue Security Bulletins zu Spectrum Protect und Spectrum Protect Plus veröffentlicht.

Einige dieser Bulletins wurden am 14.03.2022 noch einmal aktualisiert, da man für den Spectrum Protect Server einen weiteren Fix 8.1.14.100 veröffentlicht hat.

 

Es wurden von der IBM die folgenden Bulletins veröffentlicht:

Spectrum Protect Server

Security Bulletin: Vulnerabilities in IBM Java Runtime and Golang Go affect IBM Spectrum Protect Server (CVE-2021-35578, CVE-2021-44716, CVE-2021-44717

Zum Bulletin

 

Security Bulletin: Vulnerabilities in IBM Db2 affect IBM Spectrum Protect Server (CVE-2021-38931, CVE-2021-29678, CVE-2021-20373, CVE-2021-39002, CVE-2021-38926)

Zum Bulletin

Spectrum Protect Backup-Archive Client, Spectrum Protect for Virtual Environments, Spectrum Protect for Space Management

Security Bulletin: Vulnerabilities in IBM Java Runtime and Golang Go affect IBM Spectrum Protect Server (CVE-2021-35578, CVE-2021-44716, CVE-2021-44717)

Zum Bulletin

Spectrum Protect Plus

Security Bulletin: IBM Spectrum Protect Plus is vulnerable to PostgreSQL Man-in-the-Middle and Slowloris Denial of Service attacks (CVE-2021-23222, CVE-2022-22354)

Zum Bulletin

 

Vulnerabilities in Celery, Golang Go, and Python affect IBM Spectrum Protect Plus Container Backup and Restore for Kubernetes and Red Hat OpenShift

Zum Bulletin

 

Security Bulletin: Vulnerability in Flask and Python affects IBM Spectrum Protect Plus Microsoft File Systems Backup and Restore (CVE-2021-33026, CVE-2022-0391)

Zum Bulletin

 

Security Bulletin: Vulnerabilities in Polkit, Node.js, OpenSSH, and Golang Go affect IBM Spectrum Protect Plus (CVE-2021-4034, CVE-2022-21681, CVE-2022-21680, CVE-2022-0235, CVE-2021-41617, CVE-2021-44716, CVE-2021-44717, 218243)

Zum Bulletin

 

Security Bulletin: Vulnerabilities in the Linux Kernel, Samba, Sudo, Python, and tcmu-runner affect IBM Spectrum Protect Plus

Zum Bulletin

 

Die Sicherheitslücken betreffen vor allem Teile der eingesetzten Datenbanksoftware sowie den Programmier-Frameworks von Java und Python. Aber auch Sicherheitslücken im Security-Bereich der Linux Umgebung von Spectrum Protect Plus werden mit den empfohlenen Updates geschlossen.

 

Die Lücken können zu Denial-of-Service Attacken führen, Code auf den Systemen ausführen und eine DB2 Lücke ermöglicht die Modifikation von Datenbanken, wenn der Angreifer DBADM Rechte besitzt.

 

Für einige Lücken, von denen Spectrum Protect Plus betroffen ist, sind bereits funktionierende Exploits bekannt.

Bei dem Spectrum Protect Backup-Archive Client ist der Webclient betroffen. Ein Update auf die aktuellen Versionen ist daher sinnvoll.

Downloads

Download Spectrum Protect Server 8.1.14.100

Der Download von ISP 8.1.14.100 ist nun verfügbar. Die Downloadseite zeigt ihn zwar noch nicht an, über Fixcentral und den FTP Server kann man den Patch jedoch downloaden.

Download Spectrum Protect Server 8.1.14.100

Download Backup/Archive Client 8.1.14

Download Backup/Archive Client 8.1.14

Download Data Protection for Virtual Environments VMWare 8.1.14

Download Data Protection for Virtual Environments VMWare 8.1.14

Download Space Management Client 8.1.14

Download Space Management Client 8.1.14

Download Spectrum Protect Plus

Download Spectrum Protect Plus