Network Encryption in Oracle

Today I want to share with you one of my security projects which Iwas working on at DBConcepts GmbH.

One of the topics was the encryption of Oracle’s Network Traffic.

The purpose of a secure cryptosystem is to convert plaintext data into unintelligible ciphertext based on a key, in such a way that it is very hard (computationally infeasible) to convert ciphertext back into its corresponding plaintext without knowledge of the correct key.

The setup is as followed:

A high availablity setup using dataguard with a primary and standby database 19c EE Edition. Enterprise Manager Cloud Control 13c, a recovery catalog database and a application server corresponding to each database server are also in the IT Infrastructure and to be secured.

The task is as follows:

  • the secure communication between the application server to the database server
  • the encryption of Dataguard logshipping from the primary to the standby database
  • the encryption of network traffic from the database hosts to the recovery catalog
  • the encryption of JDBC-thin clients connecting to the database

I want to give you a quick overview about the possibilities which oracle offers and how unsecure a not encrypted communication is.

First, there are two encryption options which oracle provides:

  • Oracle’s Native Network Encryption (using TCP Port 1521)
  • TLS/SSL Encryption Standard (using custom TCPS Port f.e. 1522)

Oracle Database 19c supports the usage of a combination of those encryption options.

Let’s get into action:

I did a tcpdump from our monitoring host where an oracle client is installed to connect to a 19c database. It sends select statements to gather information for specific metrics.The tcpdump listens to all outgoing connections with the target database specified as the destination.

(Due to privacy policies hostnames and ip adresses are changed)

The result without a secure communication, which is the default setup for all database installations:

[root@<monitoring01> ~]# tcpdump -i eth0 dst <target db ip adress> -A -v

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes




…

<start of packet>

11:12:34.455642 IP (tos 0x0, ttl 64, id 62432, offset 0, flags [DF], proto TCP (6), length 1161)

    <monitoring01>.30585 > <target db ip adress>.ncube-lm: Flags [P.], cksum 0x5599 (incorrect -> 0xf31b), seq 1684:2793, ack 2135, win 501, options [nop,nop,TS val 3707091369 ecr 1327380418], length 1109

E.....@.@..p

3.



zjfwy... /9.&......U......

................................................................................................................................................@select replace(WAIT_CLASS,'/','') WAIT_CLASS,ROUND(FG,2) FG,ROUN@D(BG,2) FG_AND_BG,DBTIME,to_char(end_time,'yyyy-mm-dd hh24:mi:ss@') end_time from (

select sw.wait_class,wc.END_TIME, wc.WAIT_CLA@SS#, (wc.TIME_WAITED_FG)/(wc.INTSIZE_CSEC/1) fg, (wc.TIME_WAITED@)/(wc.INTSIZE_CSEC/1) bg, 0 dbtime

from V$WAITCLASSMETRIC WC,V$@SYSTEM_WAIT_CLASS SW

where WC.WAIT_CLASS#=SW.WAIT_CLASS#

and wai@t_class!='Idle'

union

select 'CPU',FG.END_TIME, -1, FG.value/100@, BG.value/100, DBTIME.value from V$SYSMETRIC FG, V$SYSMETRIC BG@, V$SYSMETRIC DBTIME

where BG.METRIC_NAME = 'Background CPU Usag@e Per Sec'

and BG.GROUP_ID = 2

and FG.METRIC_NAME = 'CPU Usage P@er Sec'

and FG.GROUP_ID = 2

and DBTIME.METRIC_NAME = 'Average Ac@tive Sessions'

and DBTIME.GROUP_ID = 2

and BG.END_TIME = FG.END_3TIME

and FG.END_TIME = DBTIME.END_TIME

order by 1)

.....................................................

<End of packet>

11:12:34.509827 IP (tos 0x0, ttl 64, id 62433, offset 0, flags [DF], proto TCP (6), length 52)

…v

As you see this is pretty scary. Every SQL-Statement and every response from the database is sent over the network in plaintext. In terms of privary and security Data modification attacks and replay attacks are possible.

Examples:

  • Intercepting a $100 bank deposit, changing the amount to $10,000, and retransmitting the higher amount is a data modification attack.
  • Repetitively retransmitting an entire set of valid data is a replay attack, such as intercepting a $100 bank withdrawal and retransmitting it ten times, thereby receiving $1,000.

This is were encryption comes to place to secure your company and enviroment against unauthorized parties intercepting data in transit.

After the implementation of security and encryption, this is the final result:

There is no plain text send over the network, only ciphertext !

[root@<monitoring01> ~]# tcpdump -i eth0 dst <target db ip adress> -A -v

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes



<start of packet>

11:23:46.582209 IP (tos 0x0, ttl 64, id 3746, offset 0, flags [DF], proto TCP (6), length 696)

<monitoring01>.59236 > <target db ip adress>.ssh: Flags [P.], cksum 0x53c8 (incorrect -> 0xb685), seq 1633:2277, ack 3158, win 130, options [nop,nop,TS val 3707763496 ecr 1328052548], length 644

E.....@.@...

3.



zjf.d..............S......

...(O(yD...U

J3R.Ok.J._.W/....ZpZ

*.:/..d.#.......Bl.&.Z5a.3.....B.....m.S....U..NtS.......y..x......*>.b....$...^ij........Z6..KPK......~v\.WvHm.6.$&9.%;.x..x#a.:..5.... .X=[M...?......xv3i&(.|.-+.p.~.n...i.J.wW...qS"d....Z...........eY1.L..V..F5..(..E.O...'.os.

Y.xIG8......K....5rh.F@..D=..~............].U.Fi..7.u......e..y/..C'..... |...{o_..6b>`..}.X.f...H..K=`v.>

.....i.....B ..d*os.h&.....:....W.G....C.s...2.V..HWA(o..e ....$x.....|. ....Kwz.....:p.Nz.Aqz..5..+V+dtria..lv7T..k.n..5E.....



<end of packet>

11:23:46.582899

…v

Hardening the systems and implementing security features is a must !

 

to be continued …

Wie Sie sich vor Hackerangriffen schützen können | Unsere 3 Tipps

Die Schlagzeilen von Hackerangriffen brechen nicht ab. Allein 2022 zierten diverse Cyberattacken von Unternehmen die heimischen Schlagzeilen. Ein Beispiel: Die im November gehackte Webseite von Hofer Reisen, ein Teil der Verkehrsbüro-Gruppe zu der unter anderem die Austria Trend Hotels, Ruefa-Reisebüros, sowie in Kitzbühel ansässige Eurotours gehören, wurde in diversen Tageszeitungen (Krone, Kurier, etc.) erwähnt.

Auch das oberösterreichische Unternehmen Rotax war im August 2022, aufgrund einer großangelegten Cyberattacke auf den Mutterkonzern Bombardier Recretional Product (BRP) in Kanada gezwungen Teile der Produktion auszusetzen. BRP bestätigte, dass eine Schadsoftware eingeschleust wurde.

Der wohl weit überwiegende Teil von Hackerangriffen erfolgt durch Phishing und Social Engineering Attacken. Laut einer Umfrage von Statista wurden 2022 mehr als 50 Prozent aller befragten österreichischen Unternehmen mit Pishing Emails attackiert.

Die Cyberkriminellen machen auch vor Krankenhäuser nicht halt: Im Dezember 2022 wurde ein Kinderkrankenhaus in Kanada gehackt und erpresst. (Spiegel, 01.01.2023). Nicht zu vergessen sind die massiv zerstörerischen Cyberattacken auf die ukrainische Regierungs-Technologie sowie den Finanzsektor.

Dass Hackerangriffe Unternehmen in den Ruin treiben können, zeigt der Angriff auf den deutschen Fahrradhersteller mit den Marken Prophete, VSF Fahrradmanufaktur, Rabeneick und Kreidler, der das Unternehmen letztlich sogar in die Insolvenz trieb. Die Ransomware-Attacke legte das Unternehmen Ende November 2022 bis zu fast vier Wochen lang still und verpasste, dem bereits angeschlagenen Unternehmen, den finalen Stoß.

Im recht frischen neuen Jahr geht es gleich schlecht weiter: Die Britische Post kämpft nach einem Hackerangriff mit massiven Problemen bei der Auslieferung ins Ausland (Spiegel 13.01.2023). Zeitgleich wird in Österreich die Uni Innsbruck Opfer eines Cyberangriffs, der glücklicherweise erfolgreich abgewehrt wurde.

Die oben genannten Beispiele sind nur zwei von den bereits 31 im Jänner erfolgten Angriffen auf unterschiedliche Branchen weltweit. Gartner prognostiziert, dass bis 2025, 45 Prozent der Unternehmen weltweit Angriffe auf ihre Softwarelieferketten erlebt haben werden (das ist eine Verdreifachung gegenüber 2021).

Die sich vergrößernden Angriffsflächen gehörten laut der Sicherheits- und Risikotrendanalyse von Gartner zu den sieben Trends im Jahr 2022. Diese Angriffsflächen (Remote Arbeiten in Kombination mit verstärkter Nutzung der Public Cloud sowie hochgradig vernetzte Lieferketten und die Verwendung von cyber-physischen Systemen), die immer komplexer und anspruchsvoller werden, bedürfen einen erweiterten Ansatz bei der Sicherheitsüberwachung.

Zeitgleich aber agieren die Cyberkriminellen immer ausgeklügelter und raffinierter. Während die IT-Hardware / Software über die vergangenen Jahre immer sicherer wird, sind die Sicherheitsstandards von IoT und OT-Geräte bei weitem nicht auf demselben Niveau. Genau diesen Schwachpunkt nutzen die Hacker aus, um sich Zugang zu den Netzwerken zu verschaffen mit dem Ziel den Unternehmensbetrieb zu stören.

Investitionen in Cybersicherheit können schwerwiegende IT -Sicherheitsvorfälle verhindern

Gleich vorweg die schlechte Nachricht: Es gibt leider keinen 100-prozentigen Schutz. Im Wesentlichen geht es darum gut vorbereitet zu sein (Business Recovery Plan), Wahrscheinlichkeiten für einen Angriff (Security Hygiene), sowie die Auswirkungen bei einem Angriff zu minimieren (Backup). Sowie die Wiederherstellungszeit (Restore) nach einem Angriff zu verkürzen, um so schnell wie möglich wieder „up and running“ zu sein.

 

Unsere drei Tipps für Cybersicherheit für Unternehmen a.k.a  your line of defense

 

  1. Business Recovery Plan

Generell sind Unternehmen gut beraten, wenn sie über einen Wiederherstellungsplan verfügen. Naturkatastrophen, Cyberattacken oder wirtschaftliche Ausfälle, können unerwartete Bedrohungen darstellen. Allerdings wollen wir uns in diesem Blogbeitrag nicht mit allen Aspekten des allgemeinen Plans beschäftigen, sondern lediglich hervorstreichen, dass geschäftskritische Prozesse im Vorfeld definiert werden sollten. Mit dieser Vorgehensweise erhält man einen guten Überblick über die Dauer der Wiederherstellung im Fall der Fälle. Wir empfehlen sich folgende Fragen zu stellen:

  • Existieren aktuelle Backups?
  • Ist eine Backup Recovery Umgebung vorhanden?
  • Ist das Unternehmen in der Lage, die wichtigsten Applikationen wiederherzustellen? Welche sind die wichtigsten Applikationen? Was ist die Priorität? In welcher Reihenfolge müssen sie wieder laufen? Gibt es Zugang zu den Applikationen bzw. wie kommen wir an diese heran?

Unser Tipp: Erstellen Sie eine Checkliste damit Sie wissen was in welcher Reihenfolge zu tun ist. Definieren Sie die

  • Reihenfolge und die Priorität der Applikationen
  • Stellen sie Backups sicher und schaffen Sie ein Umfeld zur schnellen Wiederherstellung, denn die wichtigste Applikation sollte so schnell wie möglich „up & running“ sein.

Überlegen Sie sich auch für den Zweifelsfall, was es tatsächlich bedeuten würde, bei einer Ransomware Attacke den Lösungsgeldforderungen nachzukommen. Denn Statistiken zeigen, dass nur 8 Prozent der Unternehmen, die das Lösegeld bezahlt haben, vollständig ihre Daten wiederherstellen konnten. Im Durchschnitt gelang nur der Hälfte der Unternehmen ihre Daten wiederherzustellen. Und es gibt auch keine Garantie, dass nach Bezahlung alles sofort wieder „up & running“ ist.

  1. Security Hygiene:
  • Netzwerksegmentierung
  • Gut gepflegte Systeme
  • Patching
  • Korrekte Konfigurationen
  • Vollständige, aktuelle und überprüfte Software-Backups
  • Starke Administrator Passworte (Aus dem „Digital Defense Report“ von Microsoft geht unter anderem hervor, dass Angriffe auf Passwörter mit 921 Angriffen/Sekunde um 74 Prozent gegenüber dem Vorjahr gestiegen sind)
  • Geschulte Mitarbeiter:innen
  • Regelmäßige Fire-drills
  • Benutzung von den richtigen Sicherheitstools
  • Konsequentes und kontinuierliches Monitoring dieser Tools (24/7×365)
  1. Backup & Recovery

Wie bereits im vorherigen Punkt erwähnt, ist der Einsatz von den Sicherheitstools der essenzieller Erfolgsfaktor bei der Verteidigung gegen die Cyberkriminellen. Wir empfehlen als umfangreiche Backup– und Recovery Lösung, je nach Anforderung Commvault Metallic und Commvault Complete. Unsere Erfahrung zeigt, dass die kontinuierliche Sicherheit der Daten, Geräte und Netzwerke für den Unternehmenserfolg wichtiger denn ist.

Warum Commvault?

Erstens verringern Sie mit den Lösungen von Commvault im Bereich Ransomware das Risiko von Cyberangriffen und erhöhen die Sicherheit Ihrer Daten. Zweitens sind die Lösungen im Gegensatz zu „Punktprodukten“, die die Komplexität und die Kosten erhöhen, nur eine einzige leistungsstarke Backup-Softwarelösung. Und Drittens, ist sie eine Sicherungs- und Wiederherstellungslösung, die definitiv mit den wechselnden Anforderungen Ihrer Daten mithalten kann. Weitere gute Gründe für die Commvault Lösungen:

  • Datensicherung in der Cloud. Über 80 Prozent der Unternehmen nutzen heute mehrere Da die Commvault Unterstützung für mehr als 40 Cloud-Speicheroptionen in öffentlichen und privaten Clouds bietet, hat man die Flexibilität eine hybrid Cloud-Umgebung zu erstellen.
  • Virtuelle Maschinen. Die Virtualisierung bietet eine leistungsstarke und flexible Möglichkeit zur Bewältigung der explosionsartigen Zunahme von Daten und Anwendungen. Das Erstellen und Bereitstellen von virtuellen Servern, Speicher und Anwendungen in privaten und öffentlichen Clouds bringt jedoch eigene Herausforderungen mit sich. Mit Commvault können VMs in der gesamten Umgebung gesichert, wiederhergestellt und verwaltet werden. Egal wo sie sich befinden. Wildwuchs á la eigenständigen Einzelprodukte, Datensilos, redundante Infrastruktur sind damit Geschichte.
  • Anwendungen und Datenbanken. Gerade bei einer Vielzahl von Datenbanken und Anwendungen unterschiedlicher Generationen möchte man vermeiden, dass diese von mehreren unterschiedlichen Produkten geschützt werden. Die Servicepalette von Commvault ist im Vergleich aufgrund ihrer Tiefe und Breite einfach unübertroffen: Man kann Workloads in die Cloud migrieren, Datenbanken effizient sichern und den Zugriff auf Daten beschleunigen.
  • Endgeräte. Der Schutz von Datenbanken und Unternehmensanwendungen ist wichtig, aber was ist mit den Endgeräten? Fast die Hälfte der Daten, einschließlich wichtiger Kundeninformationen und geistigem Eigentum, befindet sich auf Desktops, Laptops und mobilen Geräten. Viele dieser Geräte sind häufig das Ziel von Cyberangriffen wie Ransomware, weshalb ihr Schutz ein Muss ist. Commault complete data protection ist genau hierfür gedacht: Einmal auf den Endgeräten installiert, können User:innen ihre Dateien selbst wiederherstellen. Et voilà.
  • Wiederherstellung im Katastrophenfall. Bedenken Sie, dass nicht alle Daten gleich sind: Sie müssen die Wiederherstellungsanforderungen und -kosten gegen die für das Unternehmen geltenden Service Level Agreements abwägen. Und während die Wiederherstellungszeiträume an die Wichtigkeit der Daten gebunden sein sollten, brauchen Sie gleichzeitig eine einzige Lösung, um die Komplexität zu reduzieren. Die Lösung von Commvault ist nicht nur benutzerfreundlich und einfach – die Wiederherstellung der Daten ist auch ortsungebunden.

Weitere gute Gründe für Commvault:

Umfangreiche Abdeckung der Arbeitslast – Einheitliches Kundenerlebnis -„All-in-one“ (Null Abhängigkeit von zusätzlichen oder 3rd Party Tools oder Infrastruktur von Drittanbietern) –Einfacher und sicherer/Air-Gap – Aktive Überwachung (Frühwarnung vor Bedrohungen direkt auf dem Client mit branchenweit einzigartigen Honeypots) –Zero-Trust-Sicherheit -Automatisierte Vorgänge (Schnelle Isolierung verdächtiger Dateien und Clients zur Begrenzung potenzieller Angriffsflächen und Auswirkungen.) –Flexible rapid recovery. – Vermeidung erneuter Infektionen (Chirurgisches Löschen verdächtiger und bösartiger Dateien aus der Umgebung und aus den Sicherungskopien).

Recovery:

Wie schon erwähnt, kann die Wiederherstellungszeit (Restore) über die Unternehmensexistenz entscheiden. Um diesem Thema mehr Raum zu geben und um mit Expert:innen über die Möglichkeiten zu diskutieren, haben wir im Rahmen unserer Reihe DB Insider im Mai 2023 gemeinsam mit Pure Storage und Commvault ein Event geplant. Beim Grillen wollen wir uns im informellen Rahmen über das Thema auszutauschen. Falls sie sich für das Thema interessieren, sind Sie hiermit eingeladen. Regelmäßige Updates sowie die Anmeldung zum Event finden Sie auf unserer Homepage (www.dbconcepts.com).

 

Quellen:

bericht_cybersicherheit_2021.pdf
Microsoft Digital Defense Report 2022 Executive Summary
Cyberangriff auf 34 Firmen in Oberösterreich | kurier.at
Österreich – Arten von Cyberangriffen auf Unternehmen 2022 | Statista
Hackerangriffe aktuell heute 2022/2023 – eine Übersicht | KonBriefing.com
Ransomware: Erpresser entschuldigen sich bei Kinderkrankenhaus in Kanada -DER SPIEGEL
Cyber-Angriff auf Rotax: Die Auswirkungen | FACTORY (factorynet.at)
Motorenhersteller Rotax setzt wegen Cyberattacke Produktion aus (futurezone.at)
Mark Harris | Sr Director Analyst, Podcast/Think Cast, 31.08.21
Business Recovery Plans — ENISA (europa.eu)

Setup IPSec VPN between Oracle Cloud Infrastructure and Customer On-Premise Equipment

Eine Möglichkeit zur Verbindung Ihres On-Premise-Netzwerks und Ihres virtuellen Cloud-Netzwerks (VCN) besteht in der Verwendung von VPN Connect, einem IPSec-VPN. IPSec steht für Internet Protocol Security oder IP Security. IPSec ist eine Protokollsuite, die den gesamten IP-Traffic verschlüsselt, bevor die Pakete von der Quelle zum Ziel übertragen werden.

Voraussetzungen:

  • vorhandenes VCN (Virtual Cloud Network) in der OCI (Oracle Cloud Infrastructure)
  • vorhandenes VPN-Gateway / IP-Netz auf der Customer On-Premise Site

*Wichtig: die Netze in der OCI und On-Premise dürfen sich nicht im gleichen Subnetz befinden (z. B. 192.168.0.0/24 und 192.168.0.0/28192.168.0.0/24 und 192.168.99.0/28)

 

Konfiguration in der OCI:

  1. Erstellen Sie unter OCI -> Networking -> Dynamische Routinggateways ein neues „Dynamische Routinggateway (DRG)“ (Wählen Sie das gewünschte Compartment und einen freiwählbaren Namen)
  2. Verknüpfen Sie das Dynamische Routinggateway mit dem vorhandenen VCN: OCI -> Networking -> Virtual Cloud Network -> Dynamische Routinggateways -> „Dynamische Routinggateway anhängen“ -> Wählen Sie das zuvor erstelle Dynamische Routinggateway
  3. Erstellen Sie ein Customer Premises Equipment: OCI -> Networking -> Customer Premises Equipment -> „Customer Premises Equipment erstellen“ (Wählen Sie hier einen Namen, das Compartment, den Hersteller (ggf. Sonstige) und die öffentliche IPv4-Adresse des CPE-Gateways)
  4. Erstellen der VPN-Verbindung: OCI -> Networking -> VPN-Verbindungen -> IPSec-Verbindung erstellen (Wählen Sie hier einen Namen und das Compartment für den VPN aus, anschließend wählen Sie bitte das „CPE“ und das „DRG“ aus dem richtigen Compartment aus und geben Sie das Customer Netz unter „CIDR mit statischer Route“ bei statischen Routen an)
  5. Anpassen der VPN-ID: OCI -> Networking -> VPN-Verbindungen -> angelegten VPN wählen -> „Bearbeiten“ -> CPE-IKE-ID-Typ kann zwischen IP und FQDN gewählt werden
  6. Auslesen der Informationen für den VPN (öffentliche IPs der OCI, PreSharedKeys, …) OCI -> Networking -> VPN-Verbindungen -> angelegten VPN wählen -> CPE- und Tunnelinformationen

Beispielkonfiguration On-Premise (hier Sophos SG mit UTM 9.7):

  1. Erstellen der IPSec Policies über Sophos UTM -> Site-to-site VPN -> IPSec -> Policies -> „New IPSec Policy…“ die OCI unterstützt folgende Parameter (Stand 10/2020):

Phase 1 (ISAKMP)

Parameter Optionen
ISAKMP-Protokoll Version 1
Austauschart Hauptmodus
Authentifizierungsmethode Pre-Shared Keys
Verschlüsselungsalgorithmus AES-256-cbc (empfohlen)

AES-192-cbc

AES-128-cbc

Authentifizierungsalgorithmus SHA-2 384 (empfohlen)

SHA-2 256

SHA-1(auch als SHA oder SHA1-96 bezeichnet)

Diffie-Hellman-Gruppe Gruppe 1 (MODP 768)

Gruppe 2 (MODP 1024)

Gruppe 5 (MODP 1536)

Gruppe 14 (MODP 2048)

Gruppe 19 (ECP 256)

Gruppe 20 (ECP 384) * (empfohlen)

Gültigkeitsdauer des IKE-Sessionschlüssels 28800 Sekunden (8 Stunden)
* Gruppe 20 wird in Kürze in allen Oracle Cloud Infrastructure-Regionen unterstützt.

Phase 2 (IPSec)

Parameter Optionen
IPSec-Protokoll ESP, Tunnelmodus
Verschlüsselungsalgorithmus AES-256-gcm (empfohlen)

AES-192-gcm

AES-128-gcm

AES-256-cbc

AES-192-cbc

AES-128-cbc

Authentifizierungsalgorithmus Bei Verwendung von GCM (Galois/Counter Mode) ist kein Authentifizierungsalgorithmus erforderlich, da die Authentifizierung in der GCM-Verschlüsselung enthalten ist.

Wenn GCM nicht verwendet wird, werden folgende Algorithmen unterstützt:

HMAC-SHA-256-128 (empfohlen)

HMAC-SHA-196

Gültigkeitsdauer des IPSec-Sessionschlüssels 3600 Sekunden (1 Stunde)
Perfect Forward Secrecy (PFS) aktiviert, Gruppe 5
  1. Erstellen Sie unter „Remote Gateways“ ein, bzw. zwei neue Remotedesktopgateways, die IPs und PSKs finden Sie in der OCI unter: OCI -> Networking -> VPN-Verbindungen -> angelegten VPN wählen -> CPE- und Tunnelinformationen, hier tragen Sie bei Remotenetz das IPv4 des OCI VCN, bzw. Subnetzes aus dem VCN ein
  2. Legen Sie nun die Conncetion an und wählen hier Ihre Policy, das Remotegateway und Ihre lokalen Netzwerke aus
  3. nach erfolgtem Verbindungsaufbau werden die VPN Tunnel in der Sophos, sowie der OCI als UP/Hochgefahren angezeigt:

Meltdown und Spectre jetzt patchen

Meltdown und Spectre – Jetzt Patchen

Während es in der Regel Programmen nicht erlaubt ist, Daten von anderen Programmen auszulesen, kann ein bösartiges Programm die Sicherheitslücken „Meltdown“ und „Spectre“ ausnutzen, um an Daten zu gelangen, die im Speicher anderer laufender Programme gespeichert sind.

 Meltdown (CVE-2017-5754)

Meltdown ermöglicht es, auf Speicherbereiche des Kernels zuzugreifen, die eigentlich vor dem Zugriff durch den Prozess geschützt sein sollten. So ist es etwa mögliche, sensitive Informationen auszulesen. Meltdown kann durch Software-Maßnahmen im Kernel der Betriebssytems behoben werden, allerdings gehen mit dieser Maßnahme teilweise empfindliche Performance-Einbußen einher. Das genaue Ausmaß des Performance-Verlustes hängt hier aber stark von der Charakteristik und der Beschaffenheit des Programms ab.

 

Spectre (CVE-2017-5753 und CVE-2017-7515)

Spectre nützt eine Schwachstelle bei der Hardware-Implementierung der „speculative execution“ von CPUs aus. Diese Schwachstelle kann auf Software-Ebene nur teilweise behoben werden. Neuere Microcode-Versionen für Intel und AMD versuchen, einen Teil der Bedrohung zu entschärfen. Um das Problem nachhaltig zu lösen, bedarf es aber Änderungen am Hardware-Design der CPU.

 

Performance-Auswirkungen

Redhat gibt in einem detaillierten Artikel (“Speculative Execution Exploit Performance Impacts – Describing the performance impacts to security patches for CVE-2017-5754 CVE-2017-5753 and CVE-2017-5715”, https://access.redhat.com/articles/3307751) Überblick über erwartbare Performance-Einbußen. Für OLTP-Anwendungen konnte Redhat einen Performance-Verlust von 8-19% feststellen.

 

Was ist zu tun?

Prinzipiell ist es ratsam, die betroffenen Systeme zu aktualisieren, wobei für jedes System individuell beurteilt werden muss, welchem Risiko es ausgesetzt ist und ob die möglichen Performance-Einbußen für das System tolerierbar sind.

Eine exakte Schätzung der Veränderung in der Systemleistung ist im Vorfeld schwierig, sofern nicht ein exakt gleich dimensioniertes Testsystem zur Verfügung steht, auf welchem die Workload der Produktion simuliert werden kann.  

Usere Experten haben bereits viele Erfahrungen gesammelt und unterstützen Sie dabei, Ihr System zu patchen und vorab die Performance Auswirkungen auf Ihr System einzuschätzen.
Kontaktieren Sie uns.

 

Aktualisierte Pakete und Kernel-Versionen

Oracle stellt mittlerweile für die Produkte Oracle Enterprise Linux 6 (OEL6), Oracle Enterprise Linux 7 (OEL7) und Oracle VM Server (OVM 3.4) aktualisierte Pakete zur Verfügung.
In den unten angeführten Tabellen sind die – mit Stand 15.01.2018 – verfügbaren Updates ersichtlich.

OEL6

Paket Version Fix für CVE-2017-*
kernel-uek (UEKR4) 4.1.12-112.14.11.el6uek 5754, 5715, 5753
kernel (RHEL) 2.6.32-696.18.7.el6 5754, 5715, 5753
libvirt-* 0.10.2-62.0.1.el6_9.1 5715
microcode_ctl 1.17-25.2.el6_9 5715
qemu-* 0.12.1.2-2.503.el6_9.4 5715

 

OEL7

Paket Version Fix für CVE-2017-*
kernel-uek (UEKR4) 4.1.12-112.14.11.el6uek 5754, 5715, 5753
kernel (RHEL) 3.10.0-693.11.6.el7 5754, 5715, 5753
libvirt-* 3.2.0-14.0.1.el7_4.7 5715
microcode_ctl 2.1-22.2.el7 5715
qemu-* 1.5.3-141.el7_4.6 5715

 

OVM-Server (3.4)

Paket Version Fix für CVE-2017-*
kernel-uek (UEKR4) 4.1.12-112.14.11.el6uek 5754, 5715, 5753
xen 4.4.4-155.0.12.el6 5754, 5715,
microcode_ctl 1.17-25.2.0.1.el6_9 5715
qemu-* 0.12.1.2-2.503.el6_9.4 5715

 

Weiterführende Links:

https://spectreattack.com/

https://access.redhat.com/security/vulnerabilities/speculativeexecution

https://linux.oracle.com/cve/CVE-2017-5715.html

https://linux.oracle.com/cve/CVE-2017-5753.html

https://linux.oracle.com/cve/CVE-2017-5754.html

 

Oracle Critical Patch Update schließt 154 Sicherheitslücken | heise Security

Von Database, über Java, bis hin zu MySQL: Oracle dichtet sein Portfolio ab und veröffentlicht wie jedes Quartal jede Menge Updates. Über eine nun geschlossene Lücke soll eine Hacker-Gruppe in das Computersystem des Weißen Hauses eingedrungen sein.

Quelle: Oracle Critical Patch Update schließt 154 Sicherheitslücken | heise Security