News1. Update und mögliche Notfallmaßnahme zu Apache Log4j CVE-2021-44228 vulnerability in Bezug auf Spectrum Protect

Markus Stumpf — 14. Dezember 2021
Lesezeit: 1:11 Minuten

- Stand: 14.12.2021, 17:00 Uhr -

Apache Log4j CVE-2021-44228 vulnerability in Bezug auf Spectrum Protect

Wir haben leider von IBM noch keine finale Antwort. Bei internen Tests mit dem Tool: https://github.com/hillu/local-log4j-vuln-scanner stellten wir fest, dass in der Windows Backup/Archive Client Version 8.1.12.0 die Version 2.13.3 von Log4j benutzt wird:

Windows Backup/Archive Client Version 8.1.12.0 mit genutzter Version 2.13.3 von Log4j

Da diese Bibliothek nur im Installer im Pfad für veProfile enthalten ist, gehen wir aktuell davon aus, dass der normale Backup/Archive Client nicht betroffen ist, wenn Spectrum Protect for Virtual Environment nicht konfiguriert ist. Dies ist eine persönliche Annahme und nicht von IBM bestätigt!

Leider gibt es noch keine finale Aussage hierzu unter https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/.

Da die installierte Log4J Version 2.13.3 ist, kann als Workaround folgende Environment Variable gesetzt werden:

LOG4J_FORMAT_MSG_NO_LOOKUPS=”true”: https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/

Folgende Versionen von Log4J sind im Backup/Archive Client enthalten:

8.1.6-8.1.10: 1.2.17

8.1.11.-8.1.13:2.13.3

Die Version 1.2.17 wurde von Apache nicht gemeldet, da diese Version bereits end of service ist:

„Please note that Log4j 1.x has reached end of life and is no longer supported. Vulnerabilities reported after August 2015 against Log4j 1.x were not checked and will not be fixed”

https://logging.apache.org/log4j/2.x/security.html

Fazit:

Sicher gehen können Sie, indem Sie die Client Version auf 8.1.12 aktualisieren und den oben genannten Workaround implementieren. Für Linux ist analog eine Mitigation verfügbar:

https://access.redhat.com/security/vulnerabilities/RHSB-2021-009

Gute Neuigkeiten für unsere Service Kunden: Der Predatar Agent ist nicht betroffen.

Wir informieren Sie weiterhin zu diesem Thema hier in diesem Blog.

Ihr Empalis-Team

Hier geht es zum Folgeartikel zum Thema Log4j: