Mit Java holt man sich Sicherheitslücken ins Haus...

**holgerscherer** · 04-10-14, 20:54

mal wieder von aussen die Plattform IBM i kompromittiert..

https://www-304.ibm.com/support/docv...d=nas8N1020258

-h

**BenderD** · 05-10-14, 07:37

... da kann ich mir ein paar Anmerkungen nicht verkneifen:
@ von außen: Bei allen aufgeführten Problemen handelt es sich um Probleme mit der <bold>IBM</bold> Implementierung der JVM, teils AS400 spezifisch (unter allen älteren Releases war das immer AS400 spezifisch)
@ ein Schelm...:
<IBM>Important note: IBM recommends that all users running unsupported versions of affected products upgrade to supported and fixed version of affected products.</IBM>
Anzumerken ist noch, dass dieses Dokument lausig zusammengeschustert ist, unter CVE-2014-4268 wird auf einen Bug in Swing verwiesen, das auf der AS400 nicht implementiert ist.

@einige AS400 spezifische Sicherheitslücken, die mit Java nichts zu tun haben:
- Software: jede Software, die Commitment Controll nicht nutzt, stellt eine Sicherheitslücke für die Integrität der Daten dar.
- OS/400: Seit mehreren Releases gibt es eine Sicherheitslücke von Scheunentor Ausmaß im ADDJOBSCDE, die es unter oft anzutreffenden Konstellationen Benutzern erlaubt sich selber beliebige Berechtigungen zuzueignen, Für dieses Problem gab es nie ein PTF.
- adopted Authority: Die Mehrzahl der AS/400 Installationen, die ich in > 20 Jahren nunmehr gesehen habe, lassen sich auf Grund von Implementierungsmängeln ,mit minimalen Rechten völlig aushebeln. Dieses Problem betrifft insbesondere zahlreiche "Standard" Lösungen, ist aber auch in Inhouse Lösungen weit verbreitet. Behebungen hierfür sind oft so aufwändig, dass die bekannten Probleme hingenommen werden.

D*B

**EFueloep** · 05-10-14, 12:01

Zitat von BenderD

...
- OS/400: Seit mehreren Releases gibt es eine Sicherheitslücke von Scheunentor Ausmaß im ADDJOBSCDE, die es unter oft anzutreffenden Konstellationen Benutzern erlaubt sich selber beliebige Berechtigungen zuzueignen, Für dieses Problem gab es nie ein PTF.
...

Hast Du dazu mehr Infos?
Danke.

**BenderD** · 06-10-14, 07:18

... mit ADDJOBSCDE kann man Einschränkungen des SBMJOB umgehen, die Sicherheitsrelevant sind. Temporäre *ALLOBJ Berechtigung, auch per adopted authority geerbte, reicht aus, um sich alle Berechtigungen selber zu vergeben.

D*B

**holgerscherer** · 06-10-14, 11:47

Ich kann mich dunkel erinnern, in irgendeinem Forumspost was von "by design" gelesen zu haben. Kommentare gebe ich bekanntlich selten ab

-h

**BenderD** · 06-10-14, 12:00

Zitat von holgerscherer

"by design"

... Sicherheitslücken by design? das macht es ja noch schlimmer.

D*B

**EFueloep** · 06-10-14, 12:02

Zitat von BenderD

... Temporäre *ALLOBJ Berechtigung, auch per adopted authority geerbte, reicht aus, um sich alle Berechtigungen selber zu vergeben.

Na ja, dies ist aber dann keine Sicherheitslücke. Wenn ich mit einem User temporär *ALLOBJ und eine Command Zeile habe dann ist natürlich klar, das ich alles machen kann.
Dazu brauche ich dann gar nicht mehr ADDJOBSCDE.

Stellt sich nur die Frage wieso müssen immer so viele User *ALLOBJ Sonderrechte haben?

Dies ist nämlich leider die "einfache" (eigentlich total unsinnige!) Methode vieler SW Häuser allen Berechtigungsproblemen aus dem Weg zu gehen. Sie lassen die Applikation nur mit Usern, die *ALLOBJ haben laufen.

**BenderD** · 06-10-14, 12:13

... dem ist so nicht zuzustimmen, *ALLOBJ impliziert keineswegs *SECADM und das aus gutem Grund.

**Fuerchau** · 06-10-14, 12:21

Aber, wie Dieter schon schreibt und ich schon vielfach nachgewiesen habe, mit *ALLOBJ kann ich mir *SECADM beschaffen.

**BenderD** · 06-10-14, 12:53

... und *ALLOBJ kriege ich schon, wenn ich ein Programm finde, das adopted Authority weitergibt und noch was über *LIBL aufruft; und falls ich keine Commandline habe, fällt mir auch noch etliches ein, und falls da ein Tool sitzt, das andere Aufruf Interfaces überwacht, läuft das wieder unter *ALLOBJ und ruft was auf...

D*B

**holgerscherer** · 06-10-14, 18:24

Zitat von BenderD

... und *ALLOBJ kriege ich schon, wenn ich ein Programm finde, das adopted Authority weitergibt und noch was über *LIBL aufruft; und falls ich keine Commandline habe, fällt mir auch noch etliches ein, und falls da ein Tool sitzt, das andere Aufruf Interfaces überwacht, läuft das wieder unter *ALLOBJ und ruft was auf...
D*B

Erste Regel ist halt - LMTCPB(*YES) für alle! Und dann sehen wir weiter, wer gute Argumente hat...

Neulich auch gesehen: Signon-Programm für alle *SECOFR mit zweiter Passwort-Nachfrage zur Sicherheit. Aber vergessen, dass man beim Anmelden als Startprogramm auch QCMD angeben kann

-h

**BenderD** · 06-10-14, 19:19

... haste schon mal einen Programmierer mit LMTCB(*YES) gesehen?
D*B

Thema: Mit Java holt man sich Sicherheitslücken ins Haus...

Thread Tools

Bewerten Sie diesen Thema

Display