News

OpenSSH Security Lücke geschlossen

21.7.2023 - Die OpenSSH Entwickler haben mit Version 9.3p2 eine Sicherheitslücke geschlossen, die als hochriskant gilt.

Da OpenSSH praktisch auf allen gängigen Servern genutzt wird, sollte man den entsprechenden Patch durch den Betriebssystem-Hersteller baldmöglichst einspielen.

Die Schwachstelle CVE-2016-10009 mit einem Score von 7.3 und der Risikoeinschätzung hoch sollte eigentlich schon mit OpenSSHh 7.4 (2017) behoben sein. Allerdings dürfte dies nicht vollständig gelungen sein, da die PKCS#11-Funktion vom ssh-agent anfällig für das Einschleusen von Schadcode ermöglicht. Dies wird unter dem CVE-2023-38408 mit einem Score von 8.1 und ebenfalls “hoch” als Risikoeinschätzung behandelt.

Weitere Details findet man hier:

Bei RedHat wird seit 2023-07-20 06:12 UTC an dem Problem als Bug 2224179 gearbeitet. Es ist davon auszugehen, dass der Patch in Kürze zur Verfügung steht. Alle Distributionen, die auf RedHat basieren - beispielsweise Oracle Linux - werden den Patch dann mit einigen Stunden / wenigen Tagen Verzögerung anbieten. 

Für Oracle Linux gibt es folgende Versionen, die den Patch enthalten:

  • Oracle Linux 7: OpenSSH 7.4p1-23.0.1
  • Oracle Linux 8: OpenSSH 8.0p1-19

 

30TB HAMR Festplatten verfügbar

30.7.2023 - Lange hat es gedauert, aber jetzt ist es offiziell so weit. Seagate hat über 20 Jahre daran gearbeitet und bisher nur vereinzelt Muster ausgeliefert. Ab sofort sind die 30TB Harddisks verfügbar und werden über das eigene Corvault-Storage-System mit 3PB auf 4HE vertrieben. Laut Seagate soll die Kapazität auf bis zu 50TB (auf 10 Scheiben) auf der Roadmap stehen.

SSDs mit 30TB gibt es schon seit einigen Jahren - allerdings zu einem deutlich höheren Preis.

xz-Attacke Backdoor in der liblzma

31.3.2024 - xz-Attacke Backdoor in der liblzma (CVE-2024-3094)

Folgende Fakten sind bis jetzt bekannt:

Betroffen sind die xz Bibliothek 5.6.0 und 5.6.1, die kommen aber nur in den bleeding edge Distributionen (Fedora, Opensuse Tumbleweed, ...) vor. Das Backdoor wurde in die Bibliothek von sshd eingeschmuggelt, dass für die RSA-Entschlüsselung verantwortlich ist. Dadurch kann sich jemand mit einem bestimmten SSH-Key auf einem betroffenen System jederzeit einloggen. Als root geht das auch, aber nur wenn das direkte root-Login aktiviert ist - was eigentlich auch niemand auf einem Produktivsystem haben sollte. Der offensichtliche Zweck war es, in allen Major Linux-Versionen diese Hintertür einzubauen, das ist aber definitiv mit der vorzeitigen Entdeckung gescheitert.

Betroffen sind nach aktuellem Kenntnisstand

  • Fedora (Nutzer solen sicherheitshalber auf Version 40 aktualisieren)
  • Debian ("testing" und "unstable") bzw. Debian Sid
  • Opensuse Tumbleweed
  • macOS Paketmanager Homebrew kann davon betroffen sein
  • Pentesting-Linux Kali und Arch Linux und ähnliche Distributionen wie Gentoo

Nicht betroffen sind folgende Distributionen

  • OL, RHEL und Suse EL
  • Ubuntu

Somit sind Systeme für Oracle Datenbanken davon nicht betroffen, jedoch möglicherweise Nutzer von anderen Datenbanken wie PostgreSQL, mySQL, mariaDB und andere, die teilweise auf Distributionen wie Fedora und Debian zum Einsatz kommen.

Nutzer von potentiell betroffenen Distributionen sollen umgehen eine Prüfung bzw. ein Upgrade durchführen.

Weitere Informationen

Black Hat - Neue Sicherheitslücken bei AMD und Intel

9.8.2023 - Auf der Security-Konferenz Black Hat wurden neue Sicherheitslücken für AMD und Intel CPUs vorgestellt. Beide Hersteller wollen diese durch BIOS-Updates beheben.

Die Angriffe ähneln Spectre und Meltdown und werden Downfall (CVE-2023-32543) bzw. Inception (CVE-2023-20569) genannt.

Downfall ist nur relevant, wenn mehrere VMs sich den gleichen CPU-Kern teilen müssen, was speziell in Clouds oft der Fall ist und betrifft die Intel CPUs.

Bei Inception, der wiederum die AMD Zen Prozessoren betrifft, wird der Prozessstack mit falschen Rücksprungadressen überflutet. AMD stellt für Zen 3 und Zen 3 CPUs AGESA Updates zur Verfügung, für ältere CPUs kann man das Problem durch einbauen von “Flush-Instruktionen” in den Code beheben (Compiler Hersteller).

Die BIOS Updates müssen die jeweiligen Hardwarehersteller ist in deren BIOS integrieren, bevor diese dann den Kunden zur Verfügung gestellt werden können.

Oracle Linux 8.10 ist da

27.5.2024 - Führt man auf einem Oracle Linux 8 System einen “dnf update” durch, bekommt man ein Upgrade auf Oracle Linux 8.10.

Auf yum.oracle.com sowie in der Oracle Dokumentation findet man noch nichts zu dem Thema.

# uname -a
Linux dbmtest 5.15.0-206.153.7.1.el8uek.x86_64 #2 SMP Wed May 22 20:49:34 PDT 2024 x86_64 x86_64 x86_64 GNU/Linux

# cat /etc/redhat-release
Red Hat Enterprise Linux release 8.10 (Ootpa)

Mit OL8 kommt auch der neueste UEK R7u2 (Release Notes) mit. Die wichtigsten Features sind:

  • Unterstützung von AMD Last Branch Record Extension Version 2 (LbrExtV2)
  • Erkennung von Kernel SYN Flooding
  • Treiberaktualisierung für viele aktuelle Infrastrukturkonponenten (Netzwerk, HBAs,…)