Sicherheit

Anfang 2018 trat mit Spectre (und Meltdown) eine neue Klasse von Schwachstellen auf. In den folgenden Monaten wurden neue Varianten entdeckt und unter demselben Pseudonym veröffentlicht. Laufende Recherchen und das Bekanntwerden neuer Schwachstellen und Angriffe deuten darauf hin, dass das Thema auch in Zukunft relevant bleiben wird. Der gemeinsame Nenner dieser Schwachstellen ist ihr Ursprung in einer sehr weit verbreiteten CPU-Architektur. Sie betreffen daher fast jeden in den letzten 20 Jahren hergestellten Computerchip. Die Ausnutzung dieser Schwachstellen kann Angreifern den Zugang zu Daten ermöglichen, die zuvor als sicher galten. Mögliche Angriffe werden als Seitenkanalangriffe bezeichnet, bei denen die Ausführungsgeschwindigkeit (Timing) bestimmter Operationen das Entfernen von Speicherinhalten ermöglicht, die normalerweise nicht zugänglich sind. Aus sicherheitstechnischer Sicht geht es unter anderem um die Überschreitung von Grenzen innerhalb virtualisierter Umgebungen.

Wir untersuchen die Auswirkungen dieser Schwachstellen sehr genau und stimmen uns dabei eng mit den entsprechenden Herstellern und Anbietern sowie mit der Open-Source-Community ab. Unser Arbeitsschwerpunkt liegt dabei auf den Fragen ob, wo und wie unsere Plattformen, Datenbanken, Anwendungen und Cloud-Prozesse betroffen sind.

Dabei handeln wir proaktiv und beseitigen potenzielle Schwachstellen für Hardware-Seitenkanalangriffe unmittelbar. Weitere Informationen zum Stand der Patches für unsere Cloud-Umgebungen finden Sie hier (Registrierung erforderlich). Als Nutzer der betroffenen Software und Hardware sind wir in hohem Maße davon abhängig, dass die Hersteller, Anbieter und die Open-Source-Community entsprechende Patches zur Verfügung stellen. Der Zeitplan für den Einsatz der Patches hängt im Wesentlichen von dieser Verfügbarkeit ab.

Wir raten allen Kunden, die Empfehlungen von Hardware- und Betriebssystemherstellern zur Implementierung von Sicherheits-Patches sorgfältig zu verfolgen und die Patches sofort nach Verfügbarkeit einzusetzen. SAP Global Security beobachtet die Situation kontinuierlich und SAP setzt die Sicherheits-Patches auf unserer Cloud-Infrastruktur unverzüglich ein.

Jede Variante hat eine eigene CVE-Nummer erhalten (Stand 6. November 2018):

• PortSmash CVE-2018-5407
  
• L1 Terminal Fault (CVE-2018-3646, CVE-2018-3620 und CVE-2018-3615)
• Variante 4 – Spectre NG (CVE-2018-3639)
• Variante 3a – Spectre NG (CVE-2018-3640)
• Variante 3 – Meltdown (CVE-2017-5754)
• Variante 2 – Spectre (CVE-2017-5715)
• Variante 1 – Spectre (CVE-2017-5753)

Durch eine Ausnutzung dieser Schwachstellenvarianten kann ein Angreifer vertrauliche Daten auslesen, zum Beispiel aus dem Prozessor- oder Kernelspeicher. Die Gefährdungsstufe und Möglichkeiten der Verwertung sind von Variante zu Variante unterschiedlich.

Über die folgenden Links erhalten Sie von den entsprechenden Anbietern weitere Informationen über die oben erwähnten Schwachstellen, Ressourcen und Gegenmaßnahmen:

• Intel
• VMware

Bitte beachten Sie, dass SAP für die Inhalte auf diesen externen Seiten nicht verantwortlich ist.