Am 01.11.2022 wurden zwei kritische Sicherheitslücken in OpenSSL veröffentlicht. (siehe auch Heise) Diese Lücken wurden initial als „Critical“ bewertet, mittlerweile aber auf „High“ zurückgestuft.
IBM Spectrum Protect
IBM Spectrum Protect implementiert die Prüfung von TLS-Zertifikaten mit dem IBM eigenen Global Security Kit (GSKit). Somit sind IBM Client Kommunikationen, Passwort Speicherung nicht direkt von diesen beiden Sicherheitslücken betroffen.
Unser Tipp
Nichtsdestotrotz sollte man auf den IBM PSIRT Blog beobachten, da IBM angekündigt hat, hier Statements zu den einzelnen IBM Produkten zu veröffentlichen.
IBM Spectrum Protect Plus
Bei IBM Spectrum Protect Plus ist in den Appliance OVAs Open SSL enthalten. Hier kann man die installierten Versionen überprüfen:
Prüfen, ob OpenSSL vorhanden ist
[serveradmin@esplus20 ~]$ which openssl /usr/bin/openssl
Prüfen, welche OpenSSL Version vorhanden ist
[serveradmin@esplus20 ~]$ openssl version OpenSSL 1.0.2k-fips 26 Jan 2017
Der Beispiel-Output ist auf einer Spectrum Protect Plus Version 10.1.10 ausgeführt worden, somit sieht man, dass diese Appliance Version nicht betroffen ist, da die CVEs nur OpenSSL 3.0.0-3.0.6 betreffen.
Achtung
OpenSSL kann unabhängig der Backup Applikation Inhalt der zugrunde liegenden Betriebssysteme sein. Dies kann ebenfalls mit den obigen Befehlen überprüft werden.
Redhat teilweise betroffen
Redhat hat bereits veröffentlicht, dass nur RHEL 9 betroffen ist, was aber aktuell noch nicht als Betriebssystem für den IBM Spectrum Protect Server freigegeben ist:
https://access.redhat.com/security/cve/cve-2022-3786
https://access.redhat.com/security/cve/cve-2022-3602
Fazit
Spectrum Protect und Spectrum Protect Plus sind von dieser Sicherheitslücke nach unseren aktuellen Erkenntnissen nicht betroffen. Wir werden die Situation weiter beobachten und bei Änderungen unsere Webseite aktualisieren.