Weitere PTFs für IBM i gegen Spectre und Meltdown

Kein vollkommener Schutz

Am 8. Februar hat IBM das Betriebssystem i durch weitere Patches gegen die gravierenden Sicherheitslücken gewappnet, die sich wegen der unter den Namen Spectre und Meltdown bekanntgewordenen Design-Fehler im Power-Prozessor auftun. Gemeinsam mit den bereits für alle Power-Systeme seit der Generation Power7 angekündigten Firmware-Fixes mindern sie laut IBM die aus Spectre und Meltdown resultierenden Risiken. Ältere Systeme werden nicht mehr repariert.

  • Bildquelle:  Thinkstock / iStock

    Der Spectre-Fehler in der CPU ist nach derzeitigem Wissenstand nicht ohne Redesign zu beheben. Das heißt: Die Auswirkungen von Spectre können nicht beseitigt („fixed“), sondern höchstens abgeschwächt („mitigated“) werden.

  • Quelle: Canonical

    Das höchste Risiko tragen Enduser und Cloud-Provider, während klassische i-Shops moderat gefährdet sind. Immerhin muss ja der Schadcode irgendwie auf das System kommen.

Die aktuellen „Program Temporary Fixes“ (PTFs) sind für alle drei noch in der Wartung befindlichen Betriebssystem-Releases i 7.1, i 7.2 und i 7.3 verfügbar; sie schwächen in Verbindung mit den Firmware-Fixes die Risiken ab.

Denn zwar lässt sich der Meltdown-Bug nachträglich durch entsprechende Patches komplett beheben, Spectre nach derzeitigem Wissenstand jedoch nicht. Das heißt: Die Auswirkungen von Spectre können nicht beseitigt („fixed“), sondern höchstens abgeschwächt („mitigated“) werden. Eine wissenschaftliche Beschreibung von Spectre findet sich hier.

Die Details zu den Schwachstellen finden sich unter den „Common Vulnerabilities and Exposures“ (CVE) CVE-2017-5715, CVE-2017-5753 (Spectre) sowie CVE-2017-5754 (Meltdown). Um das Risiko weitestmöglich zu senken, empfiehlt IBM das Einspielen aller hier aufgelisteten PTFs sowie der entsprechenden Firmware-Fixes. Sollten die PTFs vor den Firmware-Fixes installiert werden, werden sie solange nicht wirksam, bis auch die Firmware aktualisiert ist und anschließend entweder ein Neustart des Systems (Initial Program Load, IPL) oder eine Verschiebung der IBM i LPAR durch das Feature „Live Partition Mobility“ (LPM) abgeschlossen wurde.

Folgende PTFs stehen mittlerweile zur Verfügung:

  • Für IBM i 7.1: MF64553, MF64599, MF64602, MF64603, MF64604, MF64609, MF64612, MF64615, MF64616, MF64617, MF64618, MF64619, MF64620, MF64571
  • Für IBM i 7.2: MF64552, MF64598, MF64601, MF64607, MF64611, MF64614, MF64565
  • Für IBM i 7.3: MF64551, MF64597, MF64600, MF64605, MF64610, MF64613, MF64568.

Um das Risiko zu entschärfen, empfiehlt IBM: „Complete mitigation of this vulnerability for Power Systems clients involves installing patches to both system firmware and operating systems. The firmware patch provides partial remediation to these vulnerabilities and is a pre-requisite for the OS patch to be effective.“

Außerdem rät der Hersteller: „The most immediate action clients can take to protect themselves is to prevent execution of unauthorized software on any system that handles sensitive data, including adjacent virtual machines.“ Trotz der gravierenden Schwachstellen ist Panik nicht angesagt, denn Meltdown haben die Hersteller (betroffen ausschließlich Intel-Prozessoren) im Griff – und Spectre-Angriffe sind nur sehr schwer umzusetzen. Beruhigend ist auch, dass bisher noch keine erfolgreichen Angriffe auf dieser Basis bekannt geworden sind.

Bildquelle: Thinkstock/iStock, Canonical

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok