OpenVMS.org (Archiv) dcl.OpenVMS.org (Archiv) HPE OpenVMS OpenVMS Technical Journal VMS Software Inc.
de.openvms.org - Für die deutschsprachige VMS-Community [OpenVMS Swoosh]
Hosted by
PDV-Systeme GmbH
Aktuell | Suchen | Archiv | Eintragen | Über uns | Disclaimer | Kontakt
Links zum Artikel

Navigation

Rubriken

RSS Feeds
OpenVMS.org RSS Feeds
--RSS-- de.OpenVMS.org


[ Hilfe zu RSS]


de.OpenVMS.org

Benutzer
Gäste online: 14
Benutzer online: 0


Login
Benutzername:

Passwort:


[Einen Benutzer anlegen]

Hinweis: Links zu OpenVMS.org funktionieren nicht. Der Website ist offline.


DEFCON16: Sicherheitslücke in OpenVMS
Software - 18-Aug-2008 10:34 UTC
Eine auf der Hackerkonferenz DEFCON16 gezeigte Sicherheitslücke in OpenVMS sorgt für Aufregung in der Community. Das Vortragsmaterial ist auf dem Deathrow Cluster verfügbar.

Der Diskussion in der Newsgruppe comp.os.vms zufolge zielt der Exploit auf installierte Images, die SMG verwenden, um Programme mit den Privilegien des installierten Images auszuführen.

Es wurde berichtet, dass der Exploit auf VMS 5.5-2, 6.2, 7.3-2 und 8.3-1H1 funktioniert, und das mindestens VAX und Alpha betroffen sind, eventuell auch Integrity-Systeme. Somit sind fast alle VMS-Systeme verwundbar. Die Sicherheitslücke kann anscheinend nicht remote ausgenutzt werden, d.h. ein gültiger Login scheint Voraussetzung zu sein.

Stephen Hoffman empfiehlt bis zum Erscheinen eines Patches, potentielle Ziel-Images mit einem Alarm-ACL zu versehen, und evtl. den Zugriff (z.B. auf INSTALL) zu begrenzen.

Eine weitere Verwundbarkeit betrifft den FINGER-Dienst sowohl der TCP/IP Services als auch von MultiNet. Da FINGER aber i.d.R. nicht (öffentlich) aktiviert ist, wird die Gefahr, die von dieser Sicherheitslücke ausgeht, relativiert. Trotzdem empfiehlt Process Software, den FINGER-Dienst zu deaktivieren oder den gerade erschienenen Patch FINGER-010_A052 (der für alle MultiNet-Versionen ab 4.4 gültig ist) einzuspielen.



Update: Es stehen jetzt SMGRTL-V0100 ECOs von HP per FTP bereit für OpenVMS I64 V8.2-1, V8.3 und V8.3-1H1, und für OpenVMS Alpha V7.3-2, V8.2 und V8.3.

Update:Nach Beschwerden aus der Community wurden die SMGRTL-V0100 ECOs als Mandatory Updates (MUPs) SMGRTL_MUP-V0100 neu herausgebracht.


Meldung auf www.openvms.org

Links zum Thema: | Version zum Drucken

< HP geht auf DNS Cache Poisoning Verwundbarkeit ein | HP Product Bulletin >

HP-Benutzergruppen

Events

Websites

Blogs

Freie VMS-Accounts

[Future Forward] OpenVMS: 30 Jahre, und es geht weiter

Der 25. Oktober 2007 markiert das 30te Jubiläum der VMS V1.0 Release. Drei Dekaden Exzellenz, von anderen Betriebssystemen unerreicht. Von VAX über Alpha bis Integrity, OpenVMS ist die Kraft hinter den kritischsten Anwendungen auf der Welt!


Bei HP:

- HP feiert 30 Jahre OpenVMS
- Ein Grußwort von Ann McQuaid, General Manager HP OpenVMS Systems Division

In der Gemeinschaft und der Presse:
- ComputerWorld: Während sich OpenVMS der 30 nähert, graben Benutzer Videos aus DECs Blütezeit aus
- InternetNews: OpenVMS ist 30, und immer noch stark
- InformationWeek: VMS Betriebssystem ist 30 Jahre alt; Kunden sind überzeugt, dass es für immer halten kann
- Enterprise Open Source Magazin: Happy Birthday, OpenVMS

OpenVMS® is a trademark of HP.
All other trademarks are those of their owners.