Categories: Cloud

OpenVMS leidet an schwerem Sicherheitsleck

Über ein Leck in OpenVMS kann eine unberechtigte Person die eigenen Privilegien erhöhen. Betroffen sind OpenVMS-Systeme, die auf VAX und Alpha-Prozessoren laufen. Kritische Systeme auf Basis von Intels Itanium-CPU scheinen zumindest teilweise von dem Leck betroffen.

Es gibt für CVE-2017-17482 bereits einen Patch. Allerdings sollen weitere Details noch bis März zurückgehalten werden. Damit sollen die Administratoren Zeit bekommen, die Patches aufzuspielen und zu testen. Daher ist der Eintrag auf cve.mitre.org derzeit noch ohne Details.

Quelle: VSI

Innerhalb der VMS-Shell, der DCL, scheint es durch dieses Leck zu einem Fehler in der Verarbeitung von Befehlen zu kommen, was zu einem Bufferoverflow führt. Ein Anwender kann darüber Code mit den Rechten eines Spervisors ausführen. Unter OpenVMS gibt es insgesamt vier Berechtigungsstufen: User Mode, Supervisor, Executive und einen Kernel Mode, mit dem Zugriff auf das gesamte System möglich wird.

Wie sich dieser Fehler ausnutzen lässt, ist derzeit noch unter Verschluss. Auf Intel Itanium (IA64) können darüber System-Crashes provoziert werden. Wie es in dem Sicherheitsbulletin auf Google Groups heißt, sind alle Versionen von VMS und OpenVMS ab VAX/VMS 4.0 betroffen.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

OpenVMS ist nach wie vor als Betriebssytem für kritische Infrastrukturen im Einsatz, wie zum Beispiel in Wasserwerken, in Bahnanlagen oder Trading-Systemen. In der Regel können Anwender nur Lokal auf diese Systeme zugreifen. Dennoch könnten Mitarbeiter mit unlauteren Absichten dieses Lecks ausnutzen.

Version 4.0 wurde im September 1984 veröffentlicht. Zum ersten Mal wurde damals noch als VMS das System 1977 vorgestellt. Seit vergangenem Jahr wird auch an einem Port für x86 gearbeitet. Bislang galt dieses Betriebssystem als äußerst sicher.
Anwender, die VSI OpenVMS V8.4-2L1 oder V8.4-2L2 auf Alpha verwenden, sollten den Anbieter VSI kontaktieren. VSI, wurde 2014 mit Genehmigung von HPE gegründet, um OpenVMS mit Updates und Portierungen auf neue Prozessor-Generationen zu versorgen. Nutzer, die OpenVMS V8.4-1H1, V8.4-2 oder V8.4-2L1 auf Itanium verwenden, sollten sich an HPE wenden. Für ältere Versionen, die bereits nicht mehr unterstützt werden, scheint es keine Patches mehr zu geben. Es jedoch nicht augsgeschlossen, dass Systeme produktiv sind, die keine Patches mehr bekommen.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Redaktion

Recent Posts

Intergermania Transport: KI-Lösung optimiert Rechnungsmanagement

Transportunternehmen automatisiert Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

23 Stunden ago

Generative KI: Mangel an kompetenten Entwicklern und Know-how

Studie zeigt: Bei der Implementierung und Nutzung von generativer KI im industriellen Umfeld besteht noch…

24 Stunden ago

Schatten-KI: Generative KI sicher integrieren

Die Einführung von KI in Unternehmen läuft oft noch zögerlich. Diese Zurückhaltung öffnet ungewollt die…

4 Tagen ago

Angriffsziel ERP

Eine aktuelle Studie von Onapsis zeigt: 9 von 10 Ransomware-Angriffe betrafen ERP-Systeme.

4 Tagen ago

Intelligente DDoS-Abwehr mit KI

Angreifer nutzen zunehmend raffinierte Techniken, um ihre Angriffe zu verschleiern und adaptive Angriffsmuster einzusetzen, warnt…

6 Tagen ago

Energieverbrauch von Rechenzentren im Blick

ESRS, CSRD, EnEfG: Wer die gesetzlichen Nachhaltigkeits-Regularien erfüllen will, braucht Transparenz über den Energieverbrauch und…

1 Woche ago