2021-2634: IBM Spectrum Protect Produkte: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-12-16 14:57)

Neues Advisory

Version 2 (2021-12-17 18:27)

Der Hersteller informiert darüber, dass IBM Spectrum Protect Plus in den Versionen 10.1.0.0 bis 10.1.9.0 von der Schwachstelle betroffen ist und stellt IBM Spectrum Protect Plus Version 10.1.9.1 als Sicherheitsupdates zu Verfügung.

Version 3 (2021-12-20 15:13)

IBM aktualisiert den Sicherheitshinweis zu IBM Spectrum Protect Backup-Archive Client and IBM Spectrum Protect for Virtual Environments hinsichtlich der betroffenen Versionsnummern der Versionszweige 8.1. Als gesichert betroffen gelten jetzt jeweils die Versionen 8.1.11.0 bis 8.1.13.0 und für IBM Spectrum Protect for Virtual Environments: Data Protection for VMware und IBM Spectrum Protect Backup-Archive Client zusätzlich 7.1.8.10 bis 7.1.8.12. Der verwundbare IBM Spectrum Protect Backup-Archive Client wird in IBM Spectrum Protect for Space Management 8.1.11.0 bis 8.1.13.0 und 7.1.8.10 bis 7.1.8.11, IBM Spectrum Protect Snapshot for Windows 8.1.11.0 bis 8.1.13.0 und IBM Tivoli Storage FlashCopy Manager for Windows 4.1.6.10 bis 4.1.6.x eingesetzt. Als Sicherheitsupdates stehen hier jeweils die Versionen 8.1.13.1 und 7.1.8.13 zur Verfügung. Benutzer von IBM Spectrum Protect Snapshot for Windows 4.1.6.x sollen den Interim Fix für IBM Spectrum Protect Client 7.1.8.x verwenden. Weiterhin ist IBM Spectrum Protect Snapshot for VMware 4.1.6.10 bis 4.1.6.12 von der Schwachstelle betroffen. Hier steht Version 4.1.6.13 als Sicherheitsupdate bereit.

Version 4 (2021-12-21 11:51)

IBM weist darauf hin, dass die als Sicherheitsupdates empfohlenen Versionen IBM Spectrum Protect Plus 10.1.9.1 und IBM Spectrum Protect Snapshot for VMware 4.1.6.13 Log4j 2.15.0 enthalten. Diese Version ist in bestimmten Konfigurationen weiterhin für die Ausführung beliebigen Programmcodes anfällig (CVE-2021-45046).

Betroffene Software

Datensicherung
Netzwerk
Server
Virtualisierung

Betroffene Plattformen

IBM
Linux
Microsoft
UNIX

Beschreibung:

Ein Angreifer kann die Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, indem er durch gezielte Interaktion mit Anwendungen, die auf Log4j zurückgreifen, speziell präparierte Log-Nachrichten oder Log-Nachrichten-Parameter auf betroffene Systeme bringt. Die Schwachstelle ist als 'Log4Shell' oder 'LogJam' bekannt.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung der Schwachstelle kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstelle in IBM Spectrum Protect Client in den Versionen 8.1.7.0 bis 8.1.13.0 (Linux and Windows) und 8.1.9.0 bis 8.1.13.0 (AIX), IBM Spectrum Protect Plus in der Version 10.1.9 (Kubernetes und OpenShift) und IBM Spectrum Protect for Virtual Environments in den Versionen 8.1.0.0 bis 8.1.13.0 sowie 7.1.0.0 bis 7.1.8.12 (VMware) und in den Versionen 8.1.4.0 bis 8.1.13.0 (Hyper-V). Zurzeit stehen keine Sicherheitsupdates zu Verfügung. IBM beschreibt einen Workaround mit dem Apache Log4j manuell aktualisiert werden kann.

Schwachstellen:

CVE-2021-44228

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.