Sicherheitsupdate: IBMs Backup-Lösung Spectrum Protect Plus ist löchrig
IBM hat mehrere Komponenten in Spectrum Protect Plus aktualisiert, um Attacken vorzubeugen.
(Bild: Artur Szczybylo/Shutterstock.com)
Sicherheitslücken in unter anderem Data Tables, Node.js und PostgreSQL machen IBM Spectrum Protect Plus verwundbar. Im schlimmsten Fall könnten Angreifer Schadcode auf Systemen ausführen. Aktualisierte Versionen schaffen Abhilfe.
IBM Spectrum Protect Plus ist eine Backup-Lösung für beispielsweise Container, Datenbanken und virtuelle Maschinen.
Sicherheitspatch installieren
Am gefährlichsten gilt eine "kritische" Sicherheitslücke (CVE-2021-43858) in MinIO. Schickt ein entfernter Angreifer präparierte HTTP-Anfragen an die AddUser() Admin API könnte er sich dadurch höhere Nutzerrechte verschaffen.
Durch das Ausnutzen von mehreren Schwachstellen in Golang Go und Python könnten Angreifer Systeme via DoS-Attacken lahmlegen. Durch Attacken auf Node.js könnten Angreifer unter anderem Zertifikats-Verifikationen umgehen. Ein Schlupfloch in PostgreSQL (CVE2021-23214 "hoch") könnte Unberechtigten Zugriffe auf Datenbanken erlauben.
Log4j-Patches
Darüber hinaus hat sich IBM noch um Log4j-Schwachstellen gekümmert. Admins sollten sicherstellen, dass Spectrum Protect Plus 10.1.93 installiert ist, damit Systeme gegen die geschilderten Angriffe gerüstet sind. Weitere Informationen zu den betroffenen Ausgaben, den Lücken und möglichen Angriffsszenarien finden sich in den unterhalb dieser Meldung verlinkten Warnmeldungen.
- Vulnerabilities in PostgreSQL, Node.js, and Data Tables from Spry Media may affect IBM Spectrum Protect Plus
- Vulnerability in Apache Log4j may impact IBM Spectrum Protect Plus
- Vulnerabilities in Golang Go, MinIO, and Python may affect IBM Spectrum Protect Plus Container Backup and Restore for Kubernetes and OpenShift
- Vulnerability in Apache Log4j may affect IBM Spectrum Protect Plus Container Backup and Restore for Kubernetes and OpenShift
(des)
