NewsUpdate zu Sicherheitslücke in Log4j in Verbindung mit IBM Spectrum Protect und Spectrum Protect Plus

Markus Stumpf — 06. Januar 2022
Lesezeit: 02:03 Minuten

Wie bereits im Dezember in mehreren Artikeln berichtet, sind Spectrum Protect und Spectrum Protect Plus nur in einzelnen Webkomponenten von den Sicherheitslücken im Zusammenhang mit Log4j 2.X betroffen. Dieser Artikel beschreibt die aktuellen Workarounds und Patches für die betroffenen Komponenten.

Backup Archive Client

Vorab sollte nochmals klargestellt werden, dass ältere Versionen von Spectrum Protect, die Log4j 1.X in den Binaries mit verteilen, nicht von diesen Sicherheitslücken betroffen sind, da der Angriff im Rahmen von CVE-2021-44228 erst mit Log4j Version 2.0 und höher möglich ist.

Nichtsdestotrotz ist Log4j in jedem Backup/Archive Client Paket als Binaries enthalten und uns erreichen deshalb immer noch viele Kundenanfragen, wie mit diesen Paketen umgegangen werden soll.

Der einfachste Fix ist weiterhin, die Log4j-Dateien aus den Installationsverzeichnissen auszutauschen, gegen die neueste Version von Log4j 2.17.1.

Die IBM hat gestern ein Update für den Backup/Archive Clients auf Version 8.13.2 veröffentlicht. In diesem Update ist allerdings „nur“ Log4j 2.17.0 enthalten, somit ist diese Version immer noch über CVE-2021-44832 angreifbar. Diese Sicherheitslücke setzt aber einen lokalen Zugriff auf die Log4j Config Datei voraus. Somit ist diese Lücke nicht mit CVE 2021-44228 zu vergleichen.

Die anderen relevanten CVEs CVE-2021-45105, CVE-2021-45046 und CVE 2021-44228 wurden bereits mit Backup/Archive Client 8.1.13.1 behoben

Security Bulletin: Vulnerability in Apache Log4j affects IBM Spectrum Protect Client Web User Interface and IBM Spectrum Protect for Virtual Environments (CVE-2021-44228):
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-client-web-user-interface-and-ibm-spectrum-protect-for-virtual-environments-cve-2021-44228/
Security Bulletin: Vulnerabilities in Apache Log4j impacts IBM Spectrum Protect Backup-Archive Client and IBM Spectrum Protect for Virtual Environments (CVE-2021-45105, CVE-2021-45046):
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-in-apache-log4j-impacts-ibm-spectrum-protect-backup-archive-client-and-ibm-spectrum-protect-for-virtual-environments-cve-2021-45105-cve-2021-45046/

Download Backup/Archive Client 8.1.13.2

Download Data Protection for Virtual Environments VMWare 8.1.13.2

Operations Center

Das Operations Center nutzt Log4j und ist somit auch von allen CVEs betroffen. Hier kann ebenso der Austausch der Log4j Dateien gegen die neuste Version 2.17.1 durchgeführt werden. Wie man die Dateien austauscht, ist in folgender Security Bulletin unter „Workarounds and Mitigations“ beschrieben:

Security Bulletin: Vulnerability in Apache Log4j affects IBM Spectrum Protect Operations Center (CVE-2021-44228)
https://www.ibm.com/support/pages/security-bulletin-vulnerability-apache-log4j-affects-ibm-spectrum-protect-operations-center-cve-2021-44228
Security Bulletin: Vulnerabilities in Apache Log4j affect IBM Spectrum Protect Operations Center (CVE-2021-45105, CVE-2021-45046)
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-in-apache-log4j-affect-ibm-spectrum-protect-operations-center-cve-2021-45105-cve-2021-45046/

Download Operations Center 8.1.13.200:
http://ftp.software.ibm.com/storage/tivoli-storage-management/patches/opcenter/8.1.13.200/

Spectrum Protect Plus

Für Spectrum Protect Plus wurden ebenso Security Bulletins veröffentlicht. Hier ist die zurzeit aktuellste Fix Version 10.1.9.2.

Security Bulletin: Vulnerability in Apache Log4j affects IBM Spectrum Protect Plus (CVE-2021-44228)
https://www.ibm.com/support/pages/node/6527828
Security Bulletin: Vulnerabilities in Apache Log4j impact IBM Spectrum Protect Plus (CVE-2021-45105, CVE-2021-45046)
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-in-apache-log4j-impact-ibm-spectrum-protect-plus-cve-2021-45105-cve-2021-45046/

Download Spectrum Protect Plus 10.1.9.2
https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=IBM%20Spectrum%20Protect%20family&product=ibm/StorageSoftware/IBM+Spectrum+Protect+Plus&release=All&platform=All&function=all

Weiterführende Links

Apache Log4j Homepage
https://logging.apache.org/log4j/2.x/
An update on the Apache Log4j 2.x vulnerabilities
https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/
CVE-2021-44832
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832
CVE-2021-44228
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
CVE-2021-45056
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
Security Bulletin: Vulnerability in Apache Log4j affects IBM Spectrum Protect Client Web User Interface and IBM Spectrum Protect for Virtual Environments (CVE-2021-44228)
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-client-web-user-interface-and-ibm-spectrum-protect-for-virtual-environments-cve-2021-44228/

Wir wünschen weiterhin sichere Zeiten auch im neuen Jahr.

Ihr Empalis-Team

Weiter zum vorherigen Artikel "Log4j kann jetzt gefixt werden - 5. Update"