OpenVMS.org (Archiv) dcl.OpenVMS.org (Archiv) HPE OpenVMS OpenVMS Technical Journal VMS Software Inc.
de.openvms.org - Für die deutschsprachige VMS-Community [OpenVMS Swoosh]
Hosted by
PDV-Systeme GmbH
Aktuell | Suchen | Archiv | Eintragen | Über uns | Disclaimer | Kontakt
Links zum Artikel

Navigation

Rubriken

RSS Feeds

de.OpenVMS.org

Benutzer
Gäste online: 29
Benutzer online: 0


Login
Benutzername:

Passwort:


[Einen Benutzer anlegen]

OpenVMS.org ist jetzt OpenVMSNews.com. Links, die auf den alten Site verweisen, funktionieren nicht.


DCL-Sicherheitsproblem CVE-2017-17482
Sicherheit - 12-Feb-2018 15:51 UTC
Eddie Orcutt von VSI hat VSI-Kunden angeschrieben, und Derrell Piper von VSI hat diese Nachricht in comp.os.vms gepostet:

Lieber VSI-OpenVMS-Kunde,

eine potentielle Sicherheitslücke wurde gefunden, bei der eine missgebildete DCL-Kommandotabelle zu einem Pufferüberlauf führen kann, der für eine Rechteausweitung benutzt werden kann. Der Fehler kann auf VAX und Alpha ausgenutzt werden; auf einer Integrity führt er zu einem Prozesscrash. Alle Versionen von VMS und OpenVMS ab VAX/VMS 4.0 sind betroffen.

Für alle VSI-OpenVMS-Versionen ist ein Patchkit (DCL-0100) verfügbar.

Alpha-Kunden mit VSI OpenVMS V8.4-2L1 für Alpha und VSI OpenVMS V8.4-2L2 können über den VSI-Support die passende Patchversion bekommen.

Integrity-Kunden mit VSI OpenVMS V8.4-1H1, VSI OpenVMS V8.4-2 und VSI OpenVMS V8.4-2L1 und einem Wartungsvertrag mit HPE müssen den Patch beim HPE-Kundensupport anfordern. Ansonsten kontaktieren Sie den VSI-Support.

Kunden mit HPE OpenVMS-Versionen bis einschließlich V8.4 wenden sich bitte an den HPE-Kundensupport.

Das Projekt Common Vulnerabilities and Exposures (CVE) hat diesem Problem die ID CVE-2017-17482 zugewiesen. Dies ist ein Eintrag in die CVE-Liste (http://cve.mitre.org/cve/index.html), welche die Bezeichnungen von Sicherheitsproblemen vereinheitlicht.

Vielen Dank.

Eddie Orcutt
VP Software Engineering


Original auf www.openvmsnews.com


Aus einer Diskussion in comp.os.vms:
Ein Teil der Sicherheitslücke basiert darauf, dass das Image SYS$SYSTEM:CDU.EXE mit CMEXEC-Privileg installiert ist. Als Workaround gegen dieses Problem kann man dieses Privileg von dem Image entfernen (falls die lokale Nutzung von CDU dies erlaubt).

Wiedereingetragen am 02-Mar-2018 14:54 UTC
Links zum Thema: | Version zum Drucken

< Migration Specialties veröffentlicht FreeAXP 3.0.617 | Meldeformular für OpenVMS-Sicherheitslücken >

HP-Benutzergruppen

Events

Websites

Blogs

Freie VMS-Accounts

[Future Forward] OpenVMS: 30 Jahre, und es geht weiter

Der 25. Oktober 2007 markiert das 30te Jubiläum der VMS V1.0 Release. Drei Dekaden Exzellenz, von anderen Betriebssystemen unerreicht. Von VAX über Alpha bis Integrity, OpenVMS ist die Kraft hinter den kritischsten Anwendungen auf der Welt!


Bei HP:

- HP feiert 30 Jahre OpenVMS
- Ein Grußwort von Ann McQuaid, General Manager HP OpenVMS Systems Division

In der Gemeinschaft und der Presse:
- ComputerWorld: Während sich OpenVMS der 30 nähert, graben Benutzer Videos aus DECs Blütezeit aus
- InternetNews: OpenVMS ist 30, und immer noch stark
- InformationWeek: VMS Betriebssystem ist 30 Jahre alt; Kunden sind überzeugt, dass es für immer halten kann
- Enterprise Open Source Magazin: Happy Birthday, OpenVMS

OpenVMS® is a trademark of HP.
All other trademarks are those of their owners.