Moderner und innovativer Schutz Ihrer Unternehmensdaten.
Übersicht Data Protection
Starten Sie mit VIKING for Backup Strategieberatung - und wählen Sie die VIKING Module, die zu Ihrem Bedarf passen.
VIKING for Backup - Strategieberatung
Managed-Service Lösungen bedarfsgerecht auf Sie zugeschnitten.
Übersicht Empalis Service Plus
Maximale Produktivität bei minimalen Kosten. Effizient und ressourcenschonend.
Übersicht System Services
Fundierter Know-how-Transfer an Sie und Ihre Mitarbeiter.
Übersicht Competence Center
Fachliche und technische Kompetenz bis in die Tiefe.
Übersicht Leistungen
IT-Spezialisten von heute und morgen.
Übersicht Unternehmen
Markus Stumpf — 06. Januar 2022Lesezeit: 02:03 Minuten
Wie bereits im Dezember in mehreren Artikeln berichtet, sind Spectrum Protect und Spectrum Protect Plus nur in einzelnen Webkomponenten von den Sicherheitslücken im Zusammenhang mit Log4j 2.X betroffen. Dieser Artikel beschreibt die aktuellen Workarounds und Patches für die betroffenen Komponenten.
Vorab sollte nochmals klargestellt werden, dass ältere Versionen von Spectrum Protect, die Log4j 1.X in den Binaries mit verteilen, nicht von diesen Sicherheitslücken betroffen sind, da der Angriff im Rahmen von CVE-2021-44228 erst mit Log4j Version 2.0 und höher möglich ist.
Nichtsdestotrotz ist Log4j in jedem Backup/Archive Client Paket als Binaries enthalten und uns erreichen deshalb immer noch viele Kundenanfragen, wie mit diesen Paketen umgegangen werden soll.
Der einfachste Fix ist weiterhin, die Log4j-Dateien aus den Installationsverzeichnissen auszutauschen, gegen die neueste Version von Log4j 2.17.1.
Die IBM hat gestern ein Update für den Backup/Archive Clients auf Version 8.13.2 veröffentlicht. In diesem Update ist allerdings „nur“ Log4j 2.17.0 enthalten, somit ist diese Version immer noch über CVE-2021-44832 angreifbar. Diese Sicherheitslücke setzt aber einen lokalen Zugriff auf die Log4j Config Datei voraus. Somit ist diese Lücke nicht mit CVE 2021-44228 zu vergleichen.
Das Operations Center nutzt Log4j und ist somit auch von allen CVEs betroffen. Hier kann ebenso der Austausch der Log4j Dateien gegen die neuste Version 2.17.1 durchgeführt werden. Wie man die Dateien austauscht, ist in folgender Security Bulletin unter „Workarounds and Mitigations“ beschrieben:
Download Operations Center 8.1.13.200:http://ftp.software.ibm.com/storage/tivoli-storage-management/patches/opcenter/8.1.13.200/
Für Spectrum Protect Plus wurden ebenso Security Bulletins veröffentlicht. Hier ist die zurzeit aktuellste Fix Version 10.1.9.2.
Download Spectrum Protect Plus 10.1.9.2https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=IBM%20Spectrum%20Protect%20family&product=ibm/StorageSoftware/IBM+Spectrum+Protect+Plus&release=All&platform=All&function=all
Wir wünschen weiterhin sichere Zeiten auch im neuen Jahr.
Ihr Empalis-Team
Empalis bringt Sie in IT-Fragen weiter – Fachbezogene Informationen und Eventeinladungen erhalten.
0800-367 25 47
Geschäftszeiten: Montag bis Freitag, 9:00-17:00 Uhr
Buchen Sie ein unverbindliches Erstgespräch mit einem unserer Key Acount Manager.
Nutzen Sie gern unser Kontaktformular für Ihre Anfrage. Wir freuen uns über Ihre Nachricht!