NewsUpdate zu Sicherheitslücke in Log4j in Verbindung mit IBM Spectrum Protect und Spectrum Protect Plus

Markus Stumpf — 06. Januar 2022
Lesezeit: 02:03 Minuten

Update zu Sicherheitslücke in Log4j in Verbindung mit IBM Spectrum Protect und Spectrum Protect Plus

Wie bereits im Dezember in mehreren Artikeln berichtet, sind Spectrum Protect und Spectrum Protect Plus nur in einzelnen Webkomponenten von den Sicherheitslücken im Zusammenhang mit Log4j 2.X betroffen. Dieser Artikel beschreibt die aktuellen Workarounds und Patches für die betroffenen Komponenten.

Backup Archive Client

Vorab sollte nochmals klargestellt werden, dass ältere Versionen von Spectrum Protect, die Log4j 1.X in den Binaries mit verteilen, nicht von diesen Sicherheitslücken betroffen sind, da der Angriff im Rahmen von CVE-2021-44228 erst mit Log4j Version 2.0 und höher möglich ist.

Nichtsdestotrotz ist Log4j in jedem Backup/Archive Client Paket als Binaries enthalten und uns erreichen deshalb immer noch viele Kundenanfragen, wie mit diesen Paketen umgegangen werden soll.

Der einfachste Fix ist weiterhin, die Log4j-Dateien aus den Installationsverzeichnissen auszutauschen, gegen die neueste Version von Log4j 2.17.1.

Die IBM hat gestern ein Update für den Backup/Archive Clients auf Version 8.13.2 veröffentlicht. In diesem Update ist allerdings „nur“ Log4j 2.17.0 enthalten, somit ist diese Version immer noch über CVE-2021-44832 angreifbar. Diese Sicherheitslücke setzt aber einen lokalen Zugriff auf die Log4j Config Datei voraus. Somit ist diese Lücke nicht mit CVE 2021-44228 zu vergleichen.

Die anderen relevanten CVEs CVE-2021-45105, CVE-2021-45046 und CVE 2021-44228 wurden bereits mit Backup/Archive Client 8.1.13.1 behoben

Download Backup/Archive Client 8.1.13.2

Download Data Protection for Virtual Environments VMWare 8.1.13.2

Operations Center

Das Operations Center nutzt Log4j und ist somit auch von allen CVEs betroffen. Hier kann ebenso der Austausch der Log4j Dateien gegen die neuste Version 2.17.1 durchgeführt werden. Wie man die Dateien austauscht, ist in folgender Security Bulletin unter „Workarounds and Mitigations“ beschrieben:

Download Operations Center 8.1.13.200:
http://ftp.software.ibm.com/storage/tivoli-storage-management/patches/opcenter/8.1.13.200/

Spectrum Protect Plus

Für Spectrum Protect Plus wurden ebenso Security Bulletins veröffentlicht. Hier ist die zurzeit aktuellste Fix Version 10.1.9.2.

Download Spectrum Protect Plus 10.1.9.2
https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=IBM%20Spectrum%20Protect%20family&product=ibm/StorageSoftware/IBM+Spectrum+Protect+Plus&release=All&platform=All&function=all

Weiterführende Links

Wir wünschen weiterhin sichere Zeiten auch im neuen Jahr.

Ihr Empalis-Team