Expert Guide, NewsWelche Sicherheitslücken das neue IBM Storage Protect Release 8.1.24 gefixt hat: Was Sie jetzt wissen sollten

Dr. Christian Biermann — 09. Dezember 2024
Lesezeit: 1:42 Minuten

Welche Sicherheitslücken das neue IBM Storage Protect Release 8.1.24 gefixt hat: Was Sie wissen sollten

Das aktuelle IBM Storage Protect Release 8.1.24 behebt eine Reihe von Sicherheitslücken und führt neue Funktionalitäten ein.

IBM hat im aktuellen IBM Storage Protect Release 8.1.24 eine Reihe von Sicherheitslücken gefixt, aber auch neue Funktionalitäten eingeführt. Diese wollen wir näher betrachten.

Client

NetApp-User, die auf OnTap 9.10.1 oder höher migrieren wollten, konnten in den alten IBM Storage Protect-Versionen die Snapdiff-Funktionalität nicht mehr verwenden.

SnapDiff ermöglicht den Vergleich von zwei Snapshots eines Dateisystems und kann dazu verwendet werden,
Änderungen zwischen den beiden Snapshots zu identifizieren und dadurch die Backup-Zeiten zu reduzieren.
Mit IBM Storage Protect Release 8.1.24  ist es nun wieder möglich, auch auf diesen Versionen ein SnapDiff-Backup über den Backup-Archive-Client auszuführen.

Das inkrementelle Backup (snapshot-assisted) kann sowohl auf der Snapmirror Source als auch auf der Destination Seite durchgeführt werden.

Weiterhin wurden in der Client Version einige Probleme mit dem WebCLient bzw. für Unix/Linux gelöst.

Server

Die IBM Storage Protect Server Version 8.1.24 unterstützt nun auch RHEL 9 auf x86_64 Maschinen.
Da RHEL 7 dieses Jahr EOL gegangen ist, werden nun wieder zwei RHEL Versionen supported.

Mit IBM Storage Ceph ist nun eine weitere Option als Cloud Object Storage mit Object Lock- Funktionalität im Backend von ISP zertifiziert. Die Zertifizierung gilt auch rückwirkend ab IBM Storage Protect Version 8.1.18 (lesen hierzu unseren Artikel zur damaligen Version). In diesem Release wurden auch eine Reihe von Sicherheitslücken behoben, die wir auch näher betrachtet haben.

IBM DB2

Hier sind eine Reihe von Lücken geschlossen worden, die hauptsächliche eine Denial of Service-Attacke gegenüber der Datenbank über verschiedene Angriffsvektoren verursachen konnten.

Eine aktuelle Ausnutzung dieser Lücken ist nicht bekannt. Diese Lücken wurden mit einer mittleren Kritikalität entsprechend dem CVSS-Score bewertet.

IBM Java SDK

Auch bei der IBM Java SDK konnte es in der eingesetzten Version zu Denial of Service Angriffen über das Netzwerk kommen. Die Einstufung im CVSS-Score zeigt eine mittlere Kritikalität.

Auch hier sind aktuell keine bestehenden Angriffsszenarien bekannt.

GoLang

Für die im Hintergrund von IBM Storage Protect verwendete Programmiersprache GoLang wurden diverse Komponenten gefixt. Die potentiellen Angriffsziele hier waren vielfältig:

  • Denial of Service
  • Unauthorisierten Zugang erlangen
  • Informationen auslesen

Obwohl hier keine aktuellen Angriffsszenarien bekannt sind, wurden einige dieser Lücken im CVSS-Score hoch eingestuft.

Weitere Problem-Fixe

Hoch bewertet dabei ist ein APAR (https://www.ibm.com/support/pages/apar/IT46238), der zum Crash einer Instanz führen kann, wenn Daten über eine Storage Rule in die Cloud getiert werden.

Zum Crash einer Instanz kann es aber auch kommen, wenn parallel zu einer Replication Storage Rule bzw. Replicate Node ein Delete Filespace abgesetzt wird. Auch dieses Problem wurde behoben.

Andere Probleme, die gefixt wurden, betreffen Probleme beim Restore von Retention Pool-Daten bzw. Fehler beim Dismount von Tapes, der nach der Installation von IBM Storage Protect 8.1.23 auftreten konnte.

Gelöst wurden auch Probleme, die zu einer Verzögerung beim Löschen von obsoleten Chunks in Container Storage Pools führen konnten.

Operation Center

In den älteren IBM Storage Protect-Versionen war es immer notwendig, dass das Operation Center mit Root- bzw. Adminrechten auf den jeweiligen Instanzen gelaufen ist.

Beginnend mitIBM Storage Protect Release 8.1.24 ist es möglich, das Operation Center auch mit weniger Rechten im Betriebssystem einzusetzen.

Die notwendigen Schritte für die Migration auf einen entsprechenden User sind im Manual beschrieben:
https://www.ibm.com/docs/en/storage-protect/8.1.24?topic=center-starting-operations-non-privileged-account

Quellen und Downloads

APAR Liste

Die vollständige APAR Liste kann unter dem folgenden Link eingesehen werden:

https://www.ibm.com/support/pages/node/6447173#8124

Aktuelle Version IBM Storage Protect Server

Die aktuelle Version des IBM Storage Protect Servers kann unter dem folgenden Link heruntergeladen werden: https://www.ibm.com/support/pages/download-information-ibm-storage-protect-servers-8124

Wenn Sie sich hierfür interessieren, dann interessieren Sie sich vielleicht auch für...