[NEWSboard IBMi Forum]
Seite 1 von 2 1 2 Letzte
  1. #1
    Registriert seit
    Aug 2001
    Beiträge
    2.644

    Exclamation CPU Sicherheitslücken!

    Hallo alle,
    da seit 3 Tagen gewisse, allgemein gültige CPU-Sicherheitslücken diskutiert und bekannt geworden sind, sollte man sich schon mal auf eine PTF- und Firmware-Update-Orgie einstellen:

    https://www.ibm.com/blogs/psirt/pote...-power-family/

    -h
    www.RZKH.de
    IBM Champion 2022, 2023, 2024
    IBM i Community Advocate https://www.youracclaim.com/badges/6...c-7ad4ba147af6
    Common / CEAC
    http://pub400.com

  2. #2
    Registriert seit
    Feb 2001
    Beiträge
    20.206
    Aha, gibts Mobilgeräte mit Power-CPU;-)?
    Dienstleistungen? Die gibt es hier: http://www.fuerchau.de
    Das Excel-AddIn: https://www.ftsolutions.de/index.php/downloads
    BI? Da war doch noch was: http://www.ftsolutions.de

  3. #3
    Registriert seit
    Aug 2001
    Beiträge
    2.644
    Zitat Zitat von Fuerchau Beitrag anzeigen
    Aha, gibts Mobilgeräte mit Power-CPU;-)?
    Ich habe diverse POWER-Kisten mit Rollen ;-)

    Im Ernst: dieser allgemeine Design-Fehler (oder sagen wir mal: besondere Denkweise) kann so ziemlich alle CPUs betreffen, in dem man geschickt mit Timings experimentiert. Und die Möglichkeit des Ausspähens von Daten unter IBM i mittels Java- oder C-Routinen will ich nicht ausschliessen...

    -h
    www.RZKH.de
    IBM Champion 2022, 2023, 2024
    IBM i Community Advocate https://www.youracclaim.com/badges/6...c-7ad4ba147af6
    Common / CEAC
    http://pub400.com

  4. #4
    Registriert seit
    Aug 2006
    Beiträge
    2.072
    Also es würde mich echt wundern, wenn du ab Sicherheitsstufe 40 irgendwas drehen kannst.
    Als externer schließe ich das eigentlich komplett aus, und selbst als interner Qsecofr wäre es vermutlich schwierig. Da das Designkonzept doch des OS/400 schon anders ist als z.B. Windows.

    Aber interessieren würde es mich schon ob es geht.

    GG 4529

  5. #5
    Registriert seit
    Aug 2001
    Beiträge
    2.644
    Zitat Zitat von KingofKning Beitrag anzeigen
    Aber interessieren würde es mich schon ob es geht.
    Wenn die IBM Firmware-Updates für Power-Server sowie PTFs für AIX, i und z rausbringt, muss zumindest eine theoretische Möglichkeit bestehen.

    -h
    www.RZKH.de
    IBM Champion 2022, 2023, 2024
    IBM i Community Advocate https://www.youracclaim.com/badges/6...c-7ad4ba147af6
    Common / CEAC
    http://pub400.com

  6. #6
    Registriert seit
    Aug 2006
    Beiträge
    2.072
    Vermutlich ist es gut das es so gut wie keine (mir bekannte) ausführliche technische Dokumentation zur AS/400 gibt.
    Dürfte nicht einfach sein das OS/400 so zu manipulieren das es beim IPL Schadsoftware lädt. Wobei denn immer noch die Frage ist wie Du die Informationen unbemerkt nach außen bringen willst. Ich denke bei großen Firmen fällt es auf wen auf einmal die AS/400 Daten zur irgendeiner unbekannten IP-Adresse transferiert.
    Aber villeicht kommt zu den Thema in den nächsten Wochen ja noch was.

    GG 4528

  7. #7
    Registriert seit
    Mar 2002
    Beiträge
    5.286
    ... Security by Obfuscation hat noch nie was getaugt.
    Das Hauptbedrohungspotential ist ohnehin eher destruktiv, abschießen von Rechnern und Netzwerken, verwürfeln von Daten und da ist die AS/400 locker mit dabei. Das ganze Marketing - von wegen immun gegen Bedrohungen - macht dabei die größten Scheunentore auf: Unachtsamkeit und völlig unzureichender Installations- und Administrationsstand sind weit verbreitet. Bei zahlreichen Installationen (ich will das nicht quantifizieren) braucht es kein ausgefeiltes Knowhow des Angreifers und kein ausnutzen von Bugs in den Prozessoren.

    D*B
    AS400 Freeware
    http://www.bender-dv.de
    Mit embedded SQL in RPG auf Datenbanken von ADABAS bis XBASE zugreifen
    http://sourceforge.net/projects/appserver4rpg/

  8. #8
    Registriert seit
    Feb 2001
    Beiträge
    20.206
    Hier muss man natürlich 2 Dinge unterscheiden:
    a) OS-Ebene
    b) Maschinenebene
    Der beschriebene CPU-Fehler betrifft den Hardwarecode der CPU, also den sog. Assembler-Level.
    Tiefer als auf MI-Ebene kann man regulär jedoch gar nicht kommen, ich habe da noch nie irgendeine Doku entdecken können die nichts als MI bereitstelt.
    Und nun ist es so, dass es immer noch so ist, dass der MI-Code eines Objektes unter Schreibschutz steht.
    Hinzukommt auch noch, dass es wohl zwischen den verschiedenen CPU's wohl durchaus Unterschiede geben soll, die das MI-Interface jedoch ausgleicht.
    Anders sieht es bei Intel u.s.w. aus, da hier die Architektur immer noch kompatibel ist. Ich kann immer noch 16/32-Bit-Assemblercode schreiben, wenn ich will. Und dies ist ja nötig um die beschriebenen Fehler auszunutzen.

    Bei der üblichen Sicherheitseinstellung des OS/400 (Standard eben nichts) habe ich eher schon die Möglichkeit den Datenklau/-Manipulation o.ä. zu betreiben. Das war aber schon immer so.

    Letztes Jahr hatte ein Kunde von mir sein IFS (/Home) verschlüsselt bekommen, da er die simpelsten Schutzregeln nicht einhielt.

    Tja und sonst?
    Seit Erfindung des Computervirus (ca. 1985) bin ich persönlich tatsächlich noch nie betroffen gewesen;-).
    Dienstleistungen? Die gibt es hier: http://www.fuerchau.de
    Das Excel-AddIn: https://www.ftsolutions.de/index.php/downloads
    BI? Da war doch noch was: http://www.ftsolutions.de

  9. #9
    Registriert seit
    Mar 2002
    Beiträge
    5.286
    ... falls Du Elster (die Jungs beim Firlefanzamt haben Humor, das ausgerechnet nach einem diebischen Vogel zu benennen) nutzt, hast Du Dir den Bundestrojaner eingefangen.
    AS400 Freeware
    http://www.bender-dv.de
    Mit embedded SQL in RPG auf Datenbanken von ADABAS bis XBASE zugreifen
    http://sourceforge.net/projects/appserver4rpg/

  10. #10
    Registriert seit
    Feb 2001
    Beiträge
    20.206
    Ist das nicht auch nur ein Gerücht?
    Dienstleistungen? Die gibt es hier: http://www.fuerchau.de
    Das Excel-AddIn: https://www.ftsolutions.de/index.php/downloads
    BI? Da war doch noch was: http://www.ftsolutions.de

  11. #11
    Registriert seit
    May 2002
    Beiträge
    1.121
    Zitat Zitat von BenderD Beitrag anzeigen
    ... falls Du Elster (die Jungs beim Firlefanzamt haben Humor, das ausgerechnet nach einem diebischen Vogel zu benennen) nutzt, hast Du Dir den Bundestrojaner eingefangen.
    Jetzt im Ernst?
    Ich nutze eigentlich schon seit Jahren ELSTER.....

  12. #12
    Registriert seit
    Aug 2001
    Beiträge
    2.644
    Zitat Zitat von Fuerchau Beitrag anzeigen
    Und nun ist es so, dass es immer noch so ist, dass der MI-Code eines Objektes unter Schreibschutz steht.
    Lesen können reicht - und auf Grund der Komplexität der Branch-Prediction-Möglichkeiten auch bei den POWER-CPUs will ich nicht ausschließen, daß ein geschickter - im PASE laufender Java-Code - hier etwas im RAM rumschnüffeln kann. Vielleicht trifft man ja per Zufall ein gutes Kennwort.

    Auch die IBM ist hier nicht vor Fehlern gefreit, man denke an V4R3, da waren die Kennworte angemeldeter User auch unverschlüsselt im RAM und mit etwas geschicktem DMP* lesbar...

    -h
    www.RZKH.de
    IBM Champion 2022, 2023, 2024
    IBM i Community Advocate https://www.youracclaim.com/badges/6...c-7ad4ba147af6
    Common / CEAC
    http://pub400.com

Similar Threads

  1. Artikel: Sicherheitslücken im BS von iPhone und iPad
    By NEWSolutions Redaktion in forum NEWSolutions artikel
    Antworten: 0
    Letzter Beitrag: 25-08-16, 06:54
  2. Mit Java holt man sich Sicherheitslücken ins Haus...
    By holgerscherer in forum IBM i Hauptforum
    Antworten: 17
    Letzter Beitrag: 17-10-14, 12:21

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • You may not post attachments
  • You may not edit your posts
  •