OpenVMS leidet seit über 30 Jahren an schwerem Sicherheitsleck

Vor allem hochkritische Infastrukturen werden mit OpenVMS-Systemen betrieben. Ein Patch wird bereit gestellt. Weitere Informationen zu dem Leck sind für März angekündigt. Auch Systeme auf Intels Itanium sind teilweise von dem Problem betroffen.

Über ein Leck in OpenVMS kann eine unberechtigte Person die eigenen Privilegien erhöhen. Betroffen sind OpenVMS-Systeme, die auf VAX und Alpha-Prozessoren laufen. Kritische Systeme auf Basis von Intels Itanium-CPU scheinen zumindest teilweise von dem Leck betroffen.

Es gibt für CVE-2017-17482 bereits einen Patch. Allerdings sollen weitere Details noch bis März zurückgehalten werden. Damit sollen die Administratoren Zeit bekommen, die Patches aufzuspielen und zu testen. Daher ist der Eintrag auf cve.mitre.org derzeit noch ohne Details.

HP-OpenVMS

Innerhalb der VMS-Shell, der DCL, scheint es durch dieses Leck zu einem Fehler in der Verarbeitung von Befehlen zu kommen, was zu einem Bufferoverflow führt. Ein Anwender kann darüber Code mit den Rechten eines Spervisors ausführen. Unter OpenVMS gibt es insgesamt vier Berechtigungsstufen: User Mode, Supervisor, Executive und einen Kernel Mode, mit dem Zugriff auf das gesamte System möglich wird.

Wie sich dieser Fehler ausnutzen lässt, ist derzeit noch unter Verschluss. Auf Intel Itanium (IA64) können darüber System-Crashes provoziert werden. Wie es in dem Sicherheitsbulletin auf Google Groups heißt, sind alle Versionen von VMS und OpenVMS ab VAX/VMS 4.0 betroffen.

OpenVMS ist nach wie vor als Betriebssytem für kritische Infrastrukturen im Einsatz, wie zum Beispiel in Wasserwerken, in Bahnanlagen oder Trading-Systemen. In der Regel können Anwender nur Lokal auf diese Systeme zugreifen. Dennoch könnten Mitarbeiter mit unlauteren Absichten dieses Lecks ausnutzen.

Version 4.0 wurde im September 1984 veröffentlicht. Zum ersten Mal wurde damals noch als VMS das System 1977 vorgestellt. Seit vergangenem Jahr wird auch an einem Port für x86 gearbeitet. Bislang galt dieses Betriebssystem als äußerst sicher.
Anwender, die VSI OpenVMS V8.4-2L1 oder V8.4-2L2 auf Alpha verwenden, sollten den Anbieter VSI kontaktieren. VSI, wurde 2014 mit Genehmigung von HPE gegründet, um OpenVMS mit Updates und Portierungen auf neue Prozessor-Generationen zu versorgen. Nutzer, die OpenVMS V8.4-1H1, V8.4-2 oder V8.4-2L1 auf Itanium verwenden, sollten sich an HPE wenden. Für ältere Versionen, die bereits nicht mehr unterstützt werden, scheint es keine Patches mehr zu geben. Es jedoch nicht augsgeschlossen, dass Systeme produktiv sind, die keine Patches mehr bekommen.

VERANSTALTUNGSHINWEIS

SolarWinds Roadshow: 15. Mai in Düsseldorf – 16. Mai in Berlin – 17. Mai in Hamburg

Zusammen mit NetMediaEurope veranstaltet Solarwinds eine Vortragsreihe zum Thema "Einheitliches Monitoring für die IT-Komplexität von heute. Der Eintritt ist frei.

Themenseiten: HPE, HPE / Intel Just Right IT, itanium

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen: