Oracle Critical Patch Update für Oktober 2019 verfügbar
18.10.2019 - Oracle hat das Quartals Critical Patch Update für Oktober 2019 herausgebracht.
Wieder einmal ist es soweit - Oracle Patchday. Wir haben uns für Siedie Datenbank Patches genauer angesehen.
Wie wichtig ist es den Patch einzuspielen?
Auch dieses mal wird eine Reihe von Security Lücken behoben. Für die Datenbank sind das:
- CVE-2019-2956,
- CVE-2019-2913,
- CVE-2019-2939,
- CVE-2018-2875,
- CVE-2019-2734,
- CVE-2018-11784,
- CVE-2019-2954,
- CVE-2019-2955,
- CVE-2019-2940 und
- CVE-2019-2909.
Die Beschreibungen und Risikoabschätzungen zu den CVEs finden Sie hier. Da der Base-Score - mit Ausnahme eine JVM Lücke, die mit 6.8 bewertet wird - unter 6 liegt, muss man die Security Patches nicht dringend einspielen. Trotzdem gilt die Empfehlung seitens Oracle diese zügig auszurollen, wobei nicht jede Lücke in allen Oracle Releases enthalten ist bzw. nur mit Optionen wie OJVM auftritt.
Patches gibt es für
- Oracle 19c
- Oracle 18c
- Oracle 12c Rel 2 - 12.2.0.1
- Oracle 12c Rel 1 - 12.1.0.2
- Oracle 11.2.0.4 - nur für Extended Support Kunden
Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:
Den Überblick über die Security-Alerts finden Sie bei Oracle hier:
Hilfreich ist auch folgender Ausgangspunkt:
Grundsätzlich gibt es die Security Patches für folgende Releases:
- Oracle 11.2.0.4 - nur mit Extended Support
- Oracle 12.1.0.2 - Vorsicht, voraussichtlich der letzten CPU
- Oracle 12.2.0.1
- Oracle 18c
- Oracle 19c
OpenVMS
Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.
Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 29913194: DATABASE PATCH SET UPDATE 11.2.0.4.191015 (Patch)" zur Verfügung.
DSGVO - erste Strafen im Millionenbereich
1.10.2019 - Es hat länger gedauert, aber langsam aber sicher gibt es die ersten "nennenswerten" Strafen auf Grund der DSGVO.
Die DSGVO, die ja seit Mai 2018 in Kraft ist, bedeutet nicht nur für Firmen Handlungsbedarf, auch die Behörden mussten sich erst damit beschäftigen. Bisher gab es daher auch erst relativ bescheidene Strafen - durchaus im Bereich von mehreren 100.000 Euro - aber so richtig massiv waren diese definitiv nicht.
Fall Marriott
Das hat sich jetzt mit der ersten Strafe von über 110 Millionen Euro geändert. Die britische Datenschutzaufsicht ICO (Information Commissioner´s Office) will die Hotelkette Marriott werden einem Verstoß mit rund 110 Millionen Euro bestrafen. Es sind auf Grund eines Ende 2018 entdeckten Hacks über 339 Millionen Kunden kompromittiert worden. Da dies in der erst 2016 gekauften Tochterfirma Starwood erfolgt ist, versucht Marriott es mit einem Einspruch - wir können gespannt sein.
Fall British Airways
Kurz davon hat das britische ICO ein Bußgeld in der Höhe von ca. 200 Millionen Euro für einen Cyberangriff auf British Airways verhängt. 2018 haben Hacker Kreditkartendaten von über 500.000 Kunden abgegriffen. Auch British Airways will dagegen Einspruch erheben.
NetCAT - neue Sicherheitslücke von Intel Xeon CPUs
11.9.2019 - Ein Sicherheitsforscher hat einen neue CPU Lücke bei Intel Xeon CPUs beginnend mit Sandy-Bridge-EP (XEON E5-2500/2400) (ab 2012) gefunden. Andere CPU Hersteller wie AMD sind nicht betroffen.
NetCAT steht für Network Cache Attack (CVE-2019-11184) und nutzt die Funktion Data-Direct IO (DDIO) von Netzwerkkarten aus, die die Daten direkt in das L3-Cache der Intel CPUs schreiben. Durch diese Lücke kann man beispielsweise bei SSH Sitzungen statische Rückschlüsse auf die möglichen Zeichen treffen, da jeder Anwender ein typisches Schreibverhalten/schreibmuster an den Tag legt, abhängig davon welche Zeichen aufeinander folgen. Kann man einen längeren Zeitraum analysieren ist ein Rückschluss auf die Eingaben in der SSH Session realistisch möglich. Die Daten selbst kann man bei diesem Angriff allerdings nicht auslesen.
Aus diesem Grund wurde das Sicherheitsrisiko als gering eingestuft (Scoring von 2.6 von 10).
Oracle Critical Patch Update für Juli 2019 verfügbar
18.7.2019 - Oracle hat das Quartals Critical Patch Update für Juli 2019 herausgebracht.
Wieder einmal ist es soweit - Oracle Patchday. Wie immer haben wir und die Datenbank Patches genauer angesehen.
Wie wichtig ist es den Patch einzuspielen?
Der CVE-2018-11058 betrifft den Datenbank Kernel und weist mit 9.8 einen extrem hohen Score auf. Da die Angriffskomplexität niedrig ist, empfehlen wir diesen CPU so bald wie möglich einzuspielen.
Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:
Den Überblick über die Security-Alerts finden Sie bei Oracle hier:
Hilfreich ist auch folgender Ausgangspunkt:
Grundsätzlich gibt es die Security Patches für folgende Releases:
- Oracle 11.2.0.4 - nur mit Extended Support
- Oracle 12.1.0.2 - Vorsicht, voraussichtlich der letzten CPU
- Oracle 12.2.0.1
- Oracle 18c
- Oracle 19c
OpenVMS
Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.
Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 29497421: DATABASE PATCH SET UPDATE 11.2.0.4.190716" zur Verfügung.
SHA1 endgültig unbrauchbar?!
Kollision Attacken (collision attacks): Seit 2005 kann man SHA1 zumindest theoretisch knacken, 2017 wurde dies auch praktisch nachgewiesen. Allerdings wurde damals noch gedacht, dass es mindestens 5 Jahre dauern wird, bis man es schafft ein beliebiges "Gutes Dokument" durch ein "Böses Dokument" zu ersetzen, das den gleichen SHA1 Hashwert aufweist.
Am 13. Mai gab ein Team von Wissenschaftlern aus Frankreich und Singapore bekannt, dass ihnen dies erfolgreich gelungen ist. Die Kosten sind mit rund $110.000,-- sogar deutlich niedriger, als man vor einigen Jahren noch angenommen hat.
Somit steht fest: SHA1 gehört endgültig zum alten Eisen und sollte nicht mehr eingesetzt werden!
Weitere Details finden Sie hier.
ZombieLoad - Neue Sicherheitslücke in Intel CPUs
17.5.2019 - Neue Intel SPU Lücke entdeckt! Besonders Cloud-Anbieter sind betroffen.
Den Entdeckern dieser neuen Lücke in den Intel CPUs gehören unter anderem einige der Spectre-Entdecker an. Betroffen sind alle Intel Core-i und Xeon Typen seit 2011 mit Ausnahme der ganz aktuellen Core i-8000U, Core i-9000 ab Stepping 13 sowie den Xeon-SP der zweiten Generation (Cascade Lake).
ZombieLoad (von Intel Microarchitectural Data Sampling genannt) kann auf die Daten anderer Prozesse - auch wenn diese in einer anderen VM laufen - zugreifen, sofern diese noch in den unteren Buffern und Registern stehen. Erleichtert wird dieser Vorgang durch HyperThreading, da hier die beiden Threads noch mehr gemeinsam nutzen.
Da die meisten Cloud Anbieter HyperThreading nutzen, ist die Gefahr in der Cloud besonders groß. Man kann potentiell Security Informationen aus VMs anderer Kunden auslesen.
Inzwischen gibt es vier Varianten dieses Angriffs. Intel wird die ersten MicroCode Patches in Kürze bereit stellen - bei älteren CPUs wird dies typischerweise etwas länger dauern. Diese müssen dann von den Operating System Herstellern in deren Patches integriert werden.
Weitere Informationen:
Linux Fix verfügbar
Die Linux Entwickler sind meist sehr schnell, wenn es darum geht Security Lücken zu beheben. Für ZombieLoad ist der Fix inzwischen in einigen Kernel Versionen behoben - die Entwickler haben knapp EINE Stunde dafür benötigt! Folgende Kernel enthalten den Schutz: 5.1.2, 5.0.16, 4.19.43, 4.9.176 und 4.14.119. Ab Kernel 5.2 (gerade in Entwicklung) werden alle Kernel den Schutz enthalten.
Die Schutzeinstellungen lassen sich mittels der Boot Option mds steuern, wobei die default Einstellung ist, dass der Schutz voll aktiviert ist.
Inzwischen arbeiten die verschiedenen Linux-Distributionen daran, den Fix in deren Distributionen zu integrieren. Vermutlich werden in den nächsten Tagen die ersten entsprechende Updates bereit stellen.