Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 12 (14.11.22):
Der Hersteller hat IBM Security Bulletins 6549888 aktualisiert und stellt
nun IBM Db2 in der Version 11.5.8 zur Verfügung.
Version 11 (09.03.22):
IBM informiert mit einem Update über die Korrektur einer Download URL für
Special Builds für Db2 zur Behebung der Schwachstelle.
Version 10 (25.02.22):
IBM informiert darüber, dass IBM Db2 Version 11.5 von der Schwachstelle in
der Apache Log4j Open Source Bibliothek nur betroffen ist, wenn auf einem
Unix-System Federation Wrappers konfiguriert sind (DVM JDBC wrapper
driver, NoSQL wrapper driver (for Hadoop), Blockchain wrapper driver (for
Hyperledger Fabric, Linux 64-bit, x86-64 only). Wenn diese nicht verwendet
werden, können als Workaround die Log4j-Dateien entfernt werden.
Version 9 (17.02.22):
Für Red Hat OpenShift Container Platform 4.7 for RHEL 8 (x86_64) steht als
Sicherheitsupdate die Version 4.7.43 und für Red Hat OpenShift Container
Platform 4.8 for RHEL 8 (x86_64) steht als Sicherheitsupdate die Version
4.8.31 bereit, um die Schwachstelle zu beheben. Es werden jeweils weitere
Schwachstellen aufgeführt, welche wahrscheinlich abhängige Pakete
betreffen.
Version 8 (01.02.22):
IBM informiert über die Schwachstelle in IBM Spectrum Protect Plus in den
Versionen 10.1.0.0 – 10.1.9.2 für Linux sowie IBM Spectrum Protect Plus
Container Backup and Restore for Kubernetes / OpenShift in den Versionen
10.1.9.0 – 10.1.9.2 für Linux und stellt für alle die Version 10.1.9.3 als
Sicherheitsupdate zu Verfügung.
Version 7 (27.01.22):
Für Red Hat OpenShift Container Platform 4.6 for RHEL 8 (x86_64) steht ein
Sicherheitsupdate auf die Version 4.6.54 bereit, um die Schwachstelle zu
beheben.
Version 6 (25.01.22):
IBM informiert darüber, dass auch IBM Db2 Version 11.5 von der
Schwachstelle in der Apache Log4j Open Source Bibliothek betroffen ist, da
die Bibliothek durch das Db2 Federation Feature verwendet wird. Zur
Behebung der Schwachstelle wird ‘log4j’ auf Version 2.17.1 aktualisiert.
Version 5 (21.01.22):
Für Red Hat OpenShift Container Platform 4.7 für Red Hat Enterprise Linux
8 (x86_64) steht ein Sicherheitsupdate bereit mit dem die Schwachstelle in
OpenShift Logging adressiert wird. Die Schwachstelle wird mit OpenShift
Logging 5.0.12 behoben.
Version 4 (17.01.22):
IBM gibt an, dass IBM Spectrum Protect Snapshot for VMware in den
Versionen 4.1.6.10 bis 4.1.6.14 von der Schwachstelle in Apache Log4j
betroffen ist. Als Sicherheitsupdate steht Version 4.1.6.15 bereit, mit
der Log4j 2.17.1 ausgeliefert wird.
Version 3 (03.01.22):
Für openSUSE Leap 15.2 und 15.3 stehen Sicherheitsupdates für ‘log4j’
bereit, um die Schwachstelle zu beheben.
Version 2 (30.12.21):
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für ‘apache-log4j2’
in Version 2.12.4-0+deb9u1 bereit, um die Schwachstelle zu beheben.
Version 1 (29.12.21):
Neues Advisory
Ein Angreifer mit der Möglichkeit, die Konfigurationsdatei von Log4j zu
manipulieren, kann die Schwachstelle aus der Ferne ausnutzen, um beliebigen
Programmcode auszuführen.
Der Hersteller informiert über die Schwachstelle und stellt Apache Log4j
2.3.2 für Java 6, 2.12.4 für Java 7 und 2.17.1 für Java 8 als
Sicherheitsupdates zu deren Behebung zur Verfügung.
Für Fedora 34 und 35 stehen Sicherheitsupdates auf Version 2.17.1 im Status
‘testing’ zur Verfügung.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-2680]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
