DEFCON16: Sicherheitslücke in OpenVMS Software - 18-Aug-2008 10:34 UTC Eine auf der Hackerkonferenz DEFCON16 gezeigte Sicherheitslücke in OpenVMS sorgt für Aufregung in der Community. Das Vortragsmaterial ist auf dem Deathrow Cluster verfügbar. Der Diskussion in der Newsgruppe comp.os.vms zufolge zielt der Exploit auf installierte Images, die SMG verwenden, um Programme mit den Privilegien des installierten Images auszuführen. Es wurde berichtet, dass der Exploit auf VMS 5.5-2, 6.2, 7.3-2 und 8.3-1H1 funktioniert, und das mindestens VAX und Alpha betroffen sind, eventuell auch Integrity-Systeme. Somit sind fast alle VMS-Systeme verwundbar. Die Sicherheitslücke kann anscheinend nicht remote ausgenutzt werden, d.h. ein gültiger Login scheint Voraussetzung zu sein. Stephen Hoffman empfiehlt bis zum Erscheinen eines Patches, potentielle Ziel-Images mit einem Alarm-ACL zu versehen, und evtl. den Zugriff (z.B. auf INSTALL) zu begrenzen. Eine weitere Verwundbarkeit betrifft den FINGER-Dienst sowohl der TCP/IP Services als auch von MultiNet. Da FINGER aber i.d.R. nicht (öffentlich) aktiviert ist, wird die Gefahr, die von dieser Sicherheitslücke ausgeht, relativiert. Trotzdem empfiehlt Process Software, den FINGER-Dienst zu deaktivieren oder den gerade erschienenen Patch FINGER-010_A052 (der für alle MultiNet-Versionen ab 4.4 gültig ist) einzuspielen. Update: Es stehen jetzt SMGRTL-V0100 ECOs von HP per FTP bereit für OpenVMS I64 V8.2-1, V8.3 und V8.3-1H1, und für OpenVMS Alpha V7.3-2, V8.2 und V8.3. Update:Nach Beschwerden aus der Community wurden die SMGRTL-V0100 ECOs als Mandatory Updates (MUPs) SMGRTL_MUP-V0100 neu herausgebracht. Meldung auf www.openvms.org