Spectre- und Meltdown-Risiken für Power entschärfen

Erste Fixes für Power9

Es gibt drei Sicherheitslücken in modernen IT-Systemen, die es Usern bzw. Prozessen erlauben, die Hardware-Schranken zwischen Anwendungs- und Systemspeicher unerlaubt zu überwinden und so fremde Daten auszulesen. Diese gravierenden Lücken sind als Meltdown und Spectre bekannt, sorgen für große Schlagzeilen und betreffen auch die Power-Systeme und IBM i. Die ersten Firmware-Patches für Power gab es am 9.Januar; im Laufe der Woche wurden jetzt weitere Fixes, PTF und Gegenmaßnahmen publiziert – unter anderem auch für die brandneuen Power9-Systeme.

IBM Power9

Müssen wegen Spectre und Meltdown noch mal genauer unter die Lupe genommen werden: Die neuen Power9-Systeme.

Die Meltdown- und Spectre-Attacken betreffen alle Prozessoren mit der sogenannten „spekulativen“ Ausführung von Instruktionen, die bei praktisch allen modernen Prozessoren genutzt wird – bei den Power-Prozessoren seit der Einführung von Power3 im Jahr 1998 (mit einzigen Ausnahme des 2007 eingeführten Power6, der mit der sogenannten „In-Order-Execution“ arbeitet). Details dazu haben wir bereits auf IT-Zoom veröffentlicht.

Beruhigend ist angesichts der gravierenden Schwäche einzig und allein, dass diese drei Sicherheitslücken keinen unerlaubten Zugriff auf das System von außen ermöglichen. Erforderlich ist also ein berechtigter User auf dem System, der Schadsoftware installiert, die diese Schwächen ausnutzt und sich fremde Daten beschafft. Das heißt auch: Klassische Appliances, auf denen keine Fremdsoftware installiert werden kann, sind per Definition immun. Das heißt aber auch: Die klassische Verteidigungslinie der IT in Form von Firewalls und anderen Security-Tools gewinnt an Bedeutung und sollte tunlichst verstärkt werden, falls sie einen brüchigen Eindruck macht oder die Gefahr von Cyber-Attacken für das Unternehmen sehr hoch ist.

Um das Risiko weiter zu entschärfen, empfiehlt IBM: „Complete mitigation of this vulnerability for Power Systems clients involves installing patches to both system firmware and operating systems. The firmware patch provides partial remediation to these vulnerabilities and is a pre-requisite for the OS patch to be effective.“

Firmware-Patches für Power7+, Power8 und jetzt Power9 sind nun via FixCentral erhältlich; Power7-Patches sollen am 7. Februar folgen. Auf FixCentral gibt es ebenfalls bereits die ersten Patches für IBM i; weitere sollen ab dem 12. Februar folgen. AIX-Patches gibt es noch nicht; die ersten sind für den 26. Januar, weitere ab dem 12. Februar avisiert. Erste Linux-Patches sind ebenfalls verfügbar – und zwar bei den jeweiligen Distributoren Red Hat, Suse und Canonical (für Ubuntu).

Weitere Informationen über diese Patches werden via PSIRT und entsprechende „Security Bulletins“ veröffentlicht.

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok