IBM hat im aktuellen IBM Storage Protect Release 8.1.24 eine Reihe von Sicherheitslücken gefixt, aber auch neue Funktionalitäten eingeführt. Diese wollen wir näher betrachten.
Client
NetApp-User, die auf OnTap 9.10.1 oder höher migrieren wollten, konnten in den alten IBM Storage Protect-Versionen die Snapdiff-Funktionalität nicht mehr verwenden.
SnapDiff ermöglicht den Vergleich von zwei Snapshots eines Dateisystems und kann dazu verwendet werden,
Änderungen zwischen den beiden Snapshots zu identifizieren und dadurch die Backup-Zeiten zu reduzieren.
Mit IBM Storage Protect Release 8.1.24 ist es nun wieder möglich, auch auf diesen Versionen ein SnapDiff-Backup über den Backup-Archive-Client auszuführen.
Das inkrementelle Backup (snapshot-assisted) kann sowohl auf der Snapmirror Source als auch auf der Destination Seite durchgeführt werden.
Weiterhin wurden in der Client Version einige Probleme mit dem WebCLient bzw. für Unix/Linux gelöst.
Server
Die IBM Storage Protect Server Version 8.1.24 unterstützt nun auch RHEL 9 auf x86_64 Maschinen.
Da RHEL 7 dieses Jahr EOL gegangen ist, werden nun wieder zwei RHEL Versionen supported.
Mit IBM Storage Ceph ist nun eine weitere Option als Cloud Object Storage mit Object Lock- Funktionalität im Backend von ISP zertifiziert. Die Zertifizierung gilt auch rückwirkend ab IBM Storage Protect Version 8.1.18 (lesen hierzu unseren Artikel zur damaligen Version). In diesem Release wurden auch eine Reihe von Sicherheitslücken behoben, die wir auch näher betrachtet haben.
IBM DB2
Hier sind eine Reihe von Lücken geschlossen worden, die hauptsächliche eine Denial of Service-Attacke gegenüber der Datenbank über verschiedene Angriffsvektoren verursachen konnten.
Eine aktuelle Ausnutzung dieser Lücken ist nicht bekannt. Diese Lücken wurden mit einer mittleren Kritikalität entsprechend dem CVSS-Score bewertet.
IBM Java SDK
Auch bei der IBM Java SDK konnte es in der eingesetzten Version zu Denial of Service Angriffen über das Netzwerk kommen. Die Einstufung im CVSS-Score zeigt eine mittlere Kritikalität.
Auch hier sind aktuell keine bestehenden Angriffsszenarien bekannt.
GoLang
Für die im Hintergrund von IBM Storage Protect verwendete Programmiersprache GoLang wurden diverse Komponenten gefixt. Die potentiellen Angriffsziele hier waren vielfältig:
Weitere Problem-Fixe
Hoch bewertet dabei ist ein APAR (https://www.ibm.com/support/pages/apar/IT46238), der zum Crash einer Instanz führen kann, wenn Daten über eine Storage Rule in die Cloud getiert werden.
Zum Crash einer Instanz kann es aber auch kommen, wenn parallel zu einer Replication Storage Rule bzw. Replicate Node ein Delete Filespace abgesetzt wird. Auch dieses Problem wurde behoben.
Andere Probleme, die gefixt wurden, betreffen Probleme beim Restore von Retention Pool-Daten bzw. Fehler beim Dismount von Tapes, der nach der Installation von IBM Storage Protect 8.1.23 auftreten konnte.
Gelöst wurden auch Probleme, die zu einer Verzögerung beim Löschen von obsoleten Chunks in Container Storage Pools führen konnten.
Operation Center
In den älteren IBM Storage Protect-Versionen war es immer notwendig, dass das Operation Center mit Root- bzw. Adminrechten auf den jeweiligen Instanzen gelaufen ist.
Beginnend mitIBM Storage Protect Release 8.1.24 ist es möglich, das Operation Center auch mit weniger Rechten im Betriebssystem einzusetzen.
Die notwendigen Schritte für die Migration auf einen entsprechenden User sind im Manual beschrieben:
https://www.ibm.com/docs/en/storage-protect/8.1.24?topic=center-starting-operations-non-privileged-account
Quellen und Downloads
APAR Liste
Die vollständige APAR Liste kann unter dem folgenden Link eingesehen werden:
https://www.ibm.com/support/pages/node/6447173#8124
Aktuelle Version IBM Storage Protect Server
Die aktuelle Version des IBM Storage Protect Servers kann unter dem folgenden Link heruntergeladen werden: https://www.ibm.com/support/pages/download-information-ibm-storage-protect-servers-8124
Client
NetApp-User, die auf OnTap 9.10.1 oder höher migrieren wollten, konnten in den alten IBM Storage Protect-Versionen die Snapdiff-Funktionalität nicht mehr verwenden.
SnapDiff ermöglicht den Vergleich von zwei Snapshots eines Dateisystems und kann dazu verwendet werden,
Änderungen zwischen den beiden Snapshots zu identifizieren und dadurch die Backup-Zeiten zu reduzieren.
Mit IBM Storage Protect Release 8.1.24 ist es nun wieder möglich, auch auf diesen Versionen ein SnapDiff-Backup über den Backup-Archive-Client auszuführen.
Das inkrementelle Backup (snapshot-assisted) kann sowohl auf der Snapmirror Source als auch auf der Destination Seite durchgeführt werden.
Weiterhin wurden in der Client Version einige Probleme mit dem WebCLient bzw. für Unix/Linux gelöst.
Server
Die IBM Storage Protect Server Version 8.1.24 unterstützt nun auch RHEL 9 auf x86_64 Maschinen.
Da RHEL 7 dieses Jahr EOL gegangen ist, werden nun wieder zwei RHEL Versionen supported.
Mit IBM Storage Ceph ist nun eine weitere Option als Cloud Object Storage mit Object Lock- Funktionalität im Backend von ISP zertifiziert. Die Zertifizierung gilt auch rückwirkend ab IBM Storage Protect Version 8.1.18 (lesen hierzu unseren Artikel zur damaligen Version). In diesem Release wurden auch eine Reihe von Sicherheitslücken behoben, die wir auch näher betrachtet haben.
IBM DB2
Hier sind eine Reihe von Lücken geschlossen worden, die hauptsächliche eine Denial of Service-Attacke gegenüber der Datenbank über verschiedene Angriffsvektoren verursachen konnten.
Eine aktuelle Ausnutzung dieser Lücken ist nicht bekannt. Diese Lücken wurden mit einer mittleren Kritikalität entsprechend dem CVSS-Score bewertet.
IBM Java SDK
Auch bei der IBM Java SDK konnte es in der eingesetzten Version zu Denial of Service Angriffen über das Netzwerk kommen. Die Einstufung im CVSS-Score zeigt eine mittlere Kritikalität.
Auch hier sind aktuell keine bestehenden Angriffsszenarien bekannt.
GoLang
Für die im Hintergrund von IBM Storage Protect verwendete Programmiersprache GoLang wurden diverse Komponenten gefixt. Die potentiellen Angriffsziele hier waren vielfältig:
- Denial of Service
- Unauthorisierten Zugang erlangen
- Informationen auslesen
Weitere Problem-Fixe
Hoch bewertet dabei ist ein APAR (https://www.ibm.com/support/pages/apar/IT46238), der zum Crash einer Instanz führen kann, wenn Daten über eine Storage Rule in die Cloud getiert werden.
Zum Crash einer Instanz kann es aber auch kommen, wenn parallel zu einer Replication Storage Rule bzw. Replicate Node ein Delete Filespace abgesetzt wird. Auch dieses Problem wurde behoben.
Andere Probleme, die gefixt wurden, betreffen Probleme beim Restore von Retention Pool-Daten bzw. Fehler beim Dismount von Tapes, der nach der Installation von IBM Storage Protect 8.1.23 auftreten konnte.
Gelöst wurden auch Probleme, die zu einer Verzögerung beim Löschen von obsoleten Chunks in Container Storage Pools führen konnten.
Operation Center
In den älteren IBM Storage Protect-Versionen war es immer notwendig, dass das Operation Center mit Root- bzw. Adminrechten auf den jeweiligen Instanzen gelaufen ist.
Beginnend mitIBM Storage Protect Release 8.1.24 ist es möglich, das Operation Center auch mit weniger Rechten im Betriebssystem einzusetzen.
Die notwendigen Schritte für die Migration auf einen entsprechenden User sind im Manual beschrieben:
https://www.ibm.com/docs/en/storage-protect/8.1.24?topic=center-starting-operations-non-privileged-account
Quellen und Downloads
APAR Liste
Die vollständige APAR Liste kann unter dem folgenden Link eingesehen werden:
https://www.ibm.com/support/pages/node/6447173#8124
Aktuelle Version IBM Storage Protect Server
Die aktuelle Version des IBM Storage Protect Servers kann unter dem folgenden Link heruntergeladen werden: https://www.ibm.com/support/pages/download-information-ibm-storage-protect-servers-8124
