SHA1 endgültig unbrauchbar?!

17.5.2019 - Trotz SHA1 Hash gefälschtes Dokument "untergeschoben" - SHA1 hat ausgedient!

Kollision Attacken (collision attacks): Seit 2005 kann man SHA1 zumindest theoretisch knacken, 2017 wurde dies auch praktisch nachgewiesen. Allerdings wurde damals noch gedacht, dass es mindestens 5 Jahre dauern wird, bis man es schafft ein beliebiges "Gutes Dokument" durch ein "Böses Dokument" zu ersetzen, das den gleichen SHA1 Hashwert aufweist.

Am 13. Mai gab ein Team von Wissenschaftlern aus Frankreich und Singapore bekannt, dass ihnen dies erfolgreich gelungen ist. Die Kosten sind mit rund $110.000,-- sogar deutlich niedriger, als man vor einigen Jahren noch angenommen hat.

Somit steht fest: SHA1 gehört endgültig zum alten Eisen und sollte nicht mehr eingesetzt werden!

Weitere Details finden Sie hier.

ZombieLoad - Neue Sicherheitslücke in Intel CPUs

17.5.2019 - Neue Intel SPU Lücke entdeckt! Besonders Cloud-Anbieter sind betroffen.

Den Entdeckern dieser neuen Lücke in den Intel CPUs gehören unter anderem einige der Spectre-Entdecker an. Betroffen sind alle Intel Core-i und Xeon Typen seit 2011 mit Ausnahme der ganz aktuellen Core i-8000U, Core i-9000 ab Stepping 13 sowie den Xeon-SP der zweiten Generation (Cascade Lake).

ZombieLoad (von Intel Microarchitectural Data Sampling genannt) kann auf die Daten anderer Prozesse - auch wenn diese in einer anderen VM laufen - zugreifen, sofern diese noch in den unteren Buffern und Registern stehen. Erleichtert wird dieser Vorgang durch HyperThreading, da hier die beiden Threads noch mehr gemeinsam nutzen.

Da die meisten Cloud Anbieter HyperThreading nutzen, ist die Gefahr in der Cloud besonders groß. Man kann potentiell Security Informationen aus VMs anderer Kunden auslesen.

Inzwischen gibt es vier Varianten dieses Angriffs. Intel wird die ersten MicroCode Patches in Kürze bereit stellen - bei älteren CPUs wird dies typischerweise etwas länger dauern. Diese müssen dann von den Operating System Herstellern in deren Patches integriert werden.

Weitere Informationen:

Linux Fix verfügbar

Die Linux Entwickler sind meist sehr schnell, wenn es darum geht Security Lücken zu beheben. Für ZombieLoad ist der Fix inzwischen in einigen Kernel Versionen behoben - die Entwickler haben knapp EINE Stunde dafür benötigt! Folgende Kernel enthalten den Schutz: 5.1.2, 5.0.16, 4.19.43, 4.9.176 und 4.14.119. Ab Kernel 5.2 (gerade in Entwicklung) werden alle Kernel den Schutz enthalten.

Die Schutzeinstellungen lassen sich mittels der Boot Option mds steuern, wobei die default Einstellung ist, dass der Schutz voll aktiviert ist. 

Inzwischen arbeiten die verschiedenen Linux-Distributionen daran, den Fix in deren Distributionen zu integrieren. Vermutlich werden in den nächsten Tagen die ersten entsprechende Updates bereit stellen.

Redhat Enterprise Linux 8 ist da

17.5.2019 - Red Hat hat die Verfügbarkeit von Red Hat Enterprise Linux 8 bekanntgegeben.

Was bringt RHEL 8 für Neuheiten:

  • Schnelles On-Ramping für neue Linux-Nutzer ohne Angst vor der Kommandozeile.
  • Schnellere und einheitlichere Bereitstellung in beliebigen Umgebungen, und zwar mit umfassender nativer Automatisierung.
  • Eine hochsichere Plattform für Cloud-Infrastrukturen und aufkommende Workloads wie maschinelles Lernen.
  • Ein nahtloser, unterbrechungsfreier Migrationsprozess für aktuelle RHEL Umgebungen.
  • In kürzester Zeit zum „Go Live“ mit optimiertem Zugang zu hochwertigen Open Source Tools für die Entwicklung.
  • Ein vertrauenswürdiger Partner für Oracle, SAP HANA, Microsoft SQL Server, Postgres sowie Workloads des maschinellen Lernens.
  • Vereinfachte Migration und Unterstützung der Übernahme containerisierter Workloads.

Weitere Details direkt bei Red Hat.

Oracle Critical Patch Update für April 2019 verfügbar

18.4.2019 -  Oracle hat das Quartals Critical Patch Update für April 2019 herausgebracht.

Pünklich in der Nacht vom 16. auf den 17. April ist der April 2019 CPU heraus gekommen. In der Datenbank sind dieses Mal 6 Security Leaks gefunden und behoben worden.

  • CVE-2019-2517 betrifft DBFS_ROLE, weist einen Base Score von 9.1 (via Netzwerk) auf und betrifft 12.2.0.1 und 18c
    Welche Benutzer diese Rolle zugewiesen haben, finden Sie mit folgender Query heraus. Solange der Account Status LOCKED ist, besteht keine Gefahr - allerdings ist die Rolle auch dem Benutzer SYS zugewiesen...
    select username, account_status from dba_users where username in 
    (select grantee from dba_role_privs where granted_role='DBFS_ROLE');
  • CVE-2019-2516 und CVE-2019-2619 betreffen die Clusterware und können nur ausgenutzt werden, wenn man lokal am Server der Grid Infrastruktur Benutzer ist. Beide haben einen Score von 8.2 und betreffen 11.2.0.4 bis 18c.
  • CVE-2019-2518 betrifft wieder einmal die Java VM (sofern diese in der Datenbank installiert ist) und kann über das Netzwerk ausgenutzt werden. Das Leak betrifft alle Datenbank Versionen (11.2.0.4 bis 19c) mit einem Score von 7.5.
  • CVE-2019-2571 beschreibt ein Leak im DataPump, dass über das Netwerk ausgenutzt werden kann, sofern der EXPDP/IMPDP mit einer DBA Session gemacht wird. Dabei kann die DataPump übernommen (manipuliert) werden. Mit einem Score von 6.6 sind ebenfalls alle Datenbank Versionen von 11.2.0.4 bis 18c betroffen.
  • CVE-2019-2582: Dieses mal betrifft es den Core der Datenbank. Man kann über das Netzwerk auf Teile der Daten im Memory zugreifen - aber nur lesend. Betroffen sind 12.2.0.1 sowie 18c mit einem Score von 5.3.

Wir empfehlen, so bald wie möglich mit dem Einspielen der Patches zu beginnen.

Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:

Den Überblick über die Security-Alerts finden Sie bei Oracle hier:

Hilfreich ist auch folgender Ausgangspunkt:

Grundsätzlich gibt es die Security Patches für folgende Releases:

  • Oracle Datenbank 11.2.0.4 - nur mehr mit extended Support
  • Oracle Datenbank 12.1.0.2
  • Oracle Datenbank 12.2.0.1
  • Oracle Datenbank 18c

OpenVMS

Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.

Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 29141056: DATABASE PATCH SET UPDATE 11.2.0.4.190416" zur Verfügung.