Aktuell ist das volle Ausmaß noch nicht klar, es liegen auch noch keine Informationen über genaue Produkte Releases und mögliche Fixes vor.
IBM hat eine extra Seite eingerichtet, die generell über die Bewertung und weitere Maßnahmen informiert und kontinuierlich aktualisiert wird: https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/
Aus älteren Security Bulletins gehen wir stark davon aus, dass zumindest der Spectrum Protect Backup/Archive Client und Spectrum Protect for Virtual Environments betroffen sind, da diese beiden Komponenten bereits im Mai von einer anderen Lücke in Log4J betroffen waren:
Aktuell gibt es noch eine Vielzahl von weiteren Sicherheitslücken die mit den gerade erschienen 8.1.13 Versionen gefixed worden sind. Wie sich die Lösung insgesamt darstellt, sollte mit dem aktuellen CVE und seiner Lösung abgestimmt werden.
Weitere Information zur Lage seitens des BSI Bund
Gerne können Sie sich bei Fragen direkt an uns wenden.
Wir halten Sie auch über diesen Kanal weiter auf dem Laufenden.