NewsWas wir bis jetzt über Apache Log4j CVE-2021-44228 vulnerability in Bezug auf Spectrum Protect sagen können

Markus Stumpf — 13. Dezember 2021
Lesezeit: 1 Minute

Über das letzte Wochenende erreichten uns die ersten Meldungen und Nachfragen, inwiefern Spectrum Protect und Spectrum Protect Plus von der CVE-2021-44228 betroffen sind.

Aktuell ist das volle Ausmaß noch nicht klar, es liegen auch noch keine Informationen über genaue Produkte Releases und mögliche Fixes vor.

IBM hat eine extra Seite eingerichtet, die generell über die Bewertung und weitere Maßnahmen informiert und kontinuierlich aktualisiert wird: https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/

Aus älteren Security Bulletins gehen wir stark davon aus, dass zumindest der Spectrum Protect Backup/Archive Client und Spectrum Protect for Virtual Environments betroffen sind, da diese beiden Komponenten bereits im Mai von einer anderen Lücke in Log4J betroffen waren:

https://www.ibm.com/support/pages/security-bulletin-vulnerabilities-apache-commons-and-log4j-affect-ibm-spectrum-protect-backup-archive-client-and-ibm-spectrum-protect-virtual-environments

Aktuell gibt es noch eine Vielzahl von weiteren Sicherheitslücken die mit den gerade erschienen 8.1.13 Versionen gefixed worden sind. Wie sich die Lösung insgesamt darstellt, sollte mit dem aktuellen CVE und seiner Lösung abgestimmt werden.

Weitere Information zur Lage seitens des BSI Bund 

Gerne können Sie sich bei Fragen direkt an uns wenden. Wir halten Sie auch über diesen Kanal weiter auf dem Laufenden. 

Hier geht es zum Folgeartikel zum Thema Log4j: