Categories: Cloud

OpenVMS leidet an schwerem Sicherheitsleck

Über ein Leck in OpenVMS kann eine unberechtigte Person die eigenen Privilegien erhöhen. Betroffen sind OpenVMS-Systeme, die auf VAX und Alpha-Prozessoren laufen. Kritische Systeme auf Basis von Intels Itanium-CPU scheinen zumindest teilweise von dem Leck betroffen.

Es gibt für CVE-2017-17482 bereits einen Patch. Allerdings sollen weitere Details noch bis März zurückgehalten werden. Damit sollen die Administratoren Zeit bekommen, die Patches aufzuspielen und zu testen. Daher ist der Eintrag auf cve.mitre.org derzeit noch ohne Details.

Quelle: VSI

Innerhalb der VMS-Shell, der DCL, scheint es durch dieses Leck zu einem Fehler in der Verarbeitung von Befehlen zu kommen, was zu einem Bufferoverflow führt. Ein Anwender kann darüber Code mit den Rechten eines Spervisors ausführen. Unter OpenVMS gibt es insgesamt vier Berechtigungsstufen: User Mode, Supervisor, Executive und einen Kernel Mode, mit dem Zugriff auf das gesamte System möglich wird.

Wie sich dieser Fehler ausnutzen lässt, ist derzeit noch unter Verschluss. Auf Intel Itanium (IA64) können darüber System-Crashes provoziert werden. Wie es in dem Sicherheitsbulletin auf Google Groups heißt, sind alle Versionen von VMS und OpenVMS ab VAX/VMS 4.0 betroffen.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

OpenVMS ist nach wie vor als Betriebssytem für kritische Infrastrukturen im Einsatz, wie zum Beispiel in Wasserwerken, in Bahnanlagen oder Trading-Systemen. In der Regel können Anwender nur Lokal auf diese Systeme zugreifen. Dennoch könnten Mitarbeiter mit unlauteren Absichten dieses Lecks ausnutzen.

Version 4.0 wurde im September 1984 veröffentlicht. Zum ersten Mal wurde damals noch als VMS das System 1977 vorgestellt. Seit vergangenem Jahr wird auch an einem Port für x86 gearbeitet. Bislang galt dieses Betriebssystem als äußerst sicher.
Anwender, die VSI OpenVMS V8.4-2L1 oder V8.4-2L2 auf Alpha verwenden, sollten den Anbieter VSI kontaktieren. VSI, wurde 2014 mit Genehmigung von HPE gegründet, um OpenVMS mit Updates und Portierungen auf neue Prozessor-Generationen zu versorgen. Nutzer, die OpenVMS V8.4-1H1, V8.4-2 oder V8.4-2L1 auf Itanium verwenden, sollten sich an HPE wenden. Für ältere Versionen, die bereits nicht mehr unterstützt werden, scheint es keine Patches mehr zu geben. Es jedoch nicht augsgeschlossen, dass Systeme produktiv sind, die keine Patches mehr bekommen.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Redaktion

Recent Posts

Google warnt vor neuer kommerzieller Spyware

Heliconia nimmt Browser und Windows Defender ins Visier. Das Exploitation Framework setzt auf in den…

2 Stunden ago

Weihnachtszeit, Shoppingzeit: Betrüger haben Hochkonjunktur

Betrüger setzen bei Routine und Bekanntem an – für Ungeübte kaum zu erkennen. Sophos gibt…

20 Stunden ago

Silicon DE Podcast im Fokus: Cyber Protection

Im Gespräch mit Carolina Heyder erklärt Candid Wüest, VP of Cyber Protection Research Acronis, wie…

21 Stunden ago

Externes Schlüsselmanagement für Kundendaten in der AWS Cloud

T-Systems erstellt, verwaltet und speichert die Schlüssel in den Rechenzentren der Deutschen Telekom innerhalb der…

23 Stunden ago

Lieferketten in der Cloud verwalten

Aktuelles von der AWS re:Invent 2022: AWS Supply Chain Service verringert Lieferketten-Risiken.

23 Stunden ago

Epson stellt Verkauf von Laserdruckern ein

Laserdrucker sind laut Epson weniger nachhaltig als Inkjet-Drucker. Aus dem Sortiment verschwinden sie bis Ende…

23 Stunden ago