Backup Archive Client
Vorab sollte nochmals klargestellt werden, dass ältere Versionen von Spectrum Protect, die Log4j 1.X in den Binaries mit verteilen, nicht von diesen Sicherheitslücken betroffen sind, da der Angriff im Rahmen von CVE-2021-44228 erst mit Log4j Version 2.0 und höher möglich ist.
Nichtsdestotrotz ist Log4j in jedem Backup/Archive Client Paket als Binaries enthalten und uns erreichen deshalb immer noch viele Kundenanfragen, wie mit diesen Paketen umgegangen werden soll.
Der einfachste Fix ist weiterhin, die Log4j-Dateien aus den Installationsverzeichnissen auszutauschen, gegen die neueste Version von Log4j 2.17.1.
Die IBM hat gestern ein Update für den Backup/Archive Clients auf Version 8.13.2 veröffentlicht. In diesem Update ist allerdings „nur“ Log4j 2.17.0 enthalten, somit ist diese Version immer noch über CVE-2021-44832 angreifbar. Diese Sicherheitslücke setzt aber einen lokalen Zugriff auf die Log4j Config Datei voraus. Somit ist diese Lücke nicht mit CVE 2021-44228 zu vergleichen.
Die anderen relevanten CVEs CVE-2021-45105, CVE-2021-45046 und CVE 2021-44228 wurden bereits mit Backup/Archive Client 8.1.13.1 behoben
- Security Bulletin: Vulnerability in Apache Log4j affects IBM Spectrum Protect Client Web User Interface and IBM Spectrum Protect for Virtual Environments (CVE-2021-44228):
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-client-web-user-interface-and-ibm-spectrum-protect-for-virtual-environments-cve-2021-44228/ - Security Bulletin: Vulnerabilities in Apache Log4j impacts IBM Spectrum Protect Backup-Archive Client and IBM Spectrum Protect for Virtual Environments (CVE-2021-45105, CVE-2021-45046):
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-in-apache-log4j-impacts-ibm-spectrum-protect-backup-archive-client-and-ibm-spectrum-protect-for-virtual-environments-cve-2021-45105-cve-2021-45046/
Download Backup/Archive Client 8.1.13.2
- http://ftp.software.ibm.com/storage/tivoli-storage-management/patches/client/v8r1/Windows/x64/v8113/
- http://ftp.software.ibm.com/storage/tivoli-storage-management/patches/client/v8r1/Linux/LinuxX86/BA/v8113/
- http://ftp.software.ibm.com/storage/tivoli-storage-management/patches/client/v8r1/AIX/BA/v8113/
Download Data Protection for Virtual Environments VMWare 8.1.13.2
- http://ftp.software.ibm.com/storage/tivoli-storage-management/patches/tivoli-data-protection/vmware/linux/linux86/v8113/
- http://ftp.software.ibm.com/storage/tivoli-storage-management/patches/tivoli-data-protection/vmware/windows/v8113/
Operations Center
Das Operations Center nutzt Log4j und ist somit auch von allen CVEs betroffen. Hier kann ebenso der Austausch der Log4j Dateien gegen die neuste Version 2.17.1 durchgeführt werden. Wie man die Dateien austauscht, ist in folgender Security Bulletin unter „Workarounds and Mitigations“ beschrieben:
- Security Bulletin: Vulnerability in Apache Log4j affects IBM Spectrum Protect Operations Center (CVE-2021-44228)
https://www.ibm.com/support/pages/security-bulletin-vulnerability-apache-log4j-affects-ibm-spectrum-protect-operations-center-cve-2021-44228 - Security Bulletin: Vulnerabilities in Apache Log4j affect IBM Spectrum Protect Operations Center (CVE-2021-45105, CVE-2021-45046)
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-in-apache-log4j-affect-ibm-spectrum-protect-operations-center-cve-2021-45105-cve-2021-45046/
Download Operations Center 8.1.13.200:
http://ftp.software.ibm.com/storage/tivoli-storage-management/patches/opcenter/8.1.13.200/
Spectrum Protect Plus
Für Spectrum Protect Plus wurden ebenso Security Bulletins veröffentlicht. Hier ist die zurzeit aktuellste Fix Version 10.1.9.2.
- Security Bulletin: Vulnerability in Apache Log4j affects IBM Spectrum Protect Plus (CVE-2021-44228)
https://www.ibm.com/support/pages/node/6527828 - Security Bulletin: Vulnerabilities in Apache Log4j impact IBM Spectrum Protect Plus (CVE-2021-45105, CVE-2021-45046)
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-in-apache-log4j-impact-ibm-spectrum-protect-plus-cve-2021-45105-cve-2021-45046/
Download Spectrum Protect Plus 10.1.9.2
https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=IBM%20Spectrum%20Protect%20family&product=ibm/StorageSoftware/IBM+Spectrum+Protect+Plus&release=All&platform=All&function=all
Weiterführende Links
- Apache Log4j Homepage
https://logging.apache.org/log4j/2.x/ - An update on the Apache Log4j 2.x vulnerabilities
https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/ - CVE-2021-44832
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832 - CVE-2021-44228
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 - CVE-2021-45056
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046 - Security Bulletin: Vulnerability in Apache Log4j affects IBM Spectrum Protect Client Web User Interface and IBM Spectrum Protect for Virtual Environments (CVE-2021-44228)
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-ibm-spectrum-protect-client-web-user-interface-and-ibm-spectrum-protect-for-virtual-environments-cve-2021-44228/
Wir wünschen weiterhin sichere Zeiten auch im neuen Jahr.
Ihr Empalis-Team