Einige dieser Bulletins wurden am 14.03.2022 noch einmal aktualisiert, da man für den Spectrum Protect Server einen weiteren Fix 8.1.14.100 veröffentlicht hat.
Es wurden von der IBM die folgenden Bulletins veröffentlicht:
Spectrum Protect Server
Security Bulletin: Vulnerabilities in IBM Java Runtime and Golang Go affect IBM Spectrum Protect Server (CVE-2021-35578, CVE-2021-44716, CVE-2021-44717
Security Bulletin: Vulnerabilities in IBM Db2 affect IBM Spectrum Protect Server (CVE-2021-38931, CVE-2021-29678, CVE-2021-20373, CVE-2021-39002, CVE-2021-38926)
Spectrum Protect Backup-Archive Client, Spectrum Protect for Virtual Environments, Spectrum Protect for Space Management
Security Bulletin: Vulnerabilities in IBM Java Runtime and Golang Go affect IBM Spectrum Protect Server (CVE-2021-35578, CVE-2021-44716, CVE-2021-44717)
Spectrum Protect Plus
Security Bulletin: IBM Spectrum Protect Plus is vulnerable to PostgreSQL Man-in-the-Middle and Slowloris Denial of Service attacks (CVE-2021-23222, CVE-2022-22354)
Vulnerabilities in Celery, Golang Go, and Python affect IBM Spectrum Protect Plus Container Backup and Restore for Kubernetes and Red Hat OpenShift
Security Bulletin: Vulnerability in Flask and Python affects IBM Spectrum Protect Plus Microsoft File Systems Backup and Restore (CVE-2021-33026, CVE-2022-0391)
Security Bulletin: Vulnerabilities in Polkit, Node.js, OpenSSH, and Golang Go affect IBM Spectrum Protect Plus (CVE-2021-4034, CVE-2022-21681, CVE-2022-21680, CVE-2022-0235, CVE-2021-41617, CVE-2021-44716, CVE-2021-44717, 218243)
Security Bulletin: Vulnerabilities in the Linux Kernel, Samba, Sudo, Python, and tcmu-runner affect IBM Spectrum Protect Plus
Die Sicherheitslücken betreffen vor allem Teile der eingesetzten Datenbanksoftware sowie den Programmier-Frameworks von Java und Python. Aber auch Sicherheitslücken im Security-Bereich der Linux Umgebung von Spectrum Protect Plus werden mit den empfohlenen Updates geschlossen.
Die Lücken können zu Denial-of-Service Attacken führen, Code auf den Systemen ausführen und eine DB2 Lücke ermöglicht die Modifikation von Datenbanken, wenn der Angreifer DBADM Rechte besitzt.
Für einige Lücken, von denen Spectrum Protect Plus betroffen ist, sind bereits funktionierende Exploits bekannt.
Bei dem Spectrum Protect Backup-Archive Client ist der Webclient betroffen. Ein Update auf die aktuellen Versionen ist daher sinnvoll.
Downloads
Download Spectrum Protect Server 8.1.14.100
Der Download von ISP 8.1.14.100 ist nun verfügbar. Die Downloadseite zeigt ihn zwar noch nicht an, über Fixcentral und den FTP Server kann man den Patch jedoch downloaden.
Download Spectrum Protect Server 8.1.14.100
Download Backup/Archive Client 8.1.14
Download Backup/Archive Client 8.1.14
Download Data Protection for Virtual Environments VMWare 8.1.14
Download Data Protection for Virtual Environments VMWare 8.1.14
Download Space Management Client 8.1.14
Download Space Management Client 8.1.14