Spectre und Meltdown

Die beiden Hardware-Angriffsmöglichkeiten Spectre mit CVE-2017-5715 (branch target injection) und Meltdown mit CVE-2017-5753 (bounds check bypass) und CVE-2017-5754 (rogue data cache load) sind aktuell in aller Munde. Was ist hier aber wichtig für Sie als Oracle Datebankbetreiber?

Sämtliche Informationen spiegeln den Stand zum 19. Januar 2018 wider und können ggf. nicht mehr aktuell sein.

Prinzipiell gilt hier natürlich für Oracle-Kunden erstmal die MOS Note 2347948.1, welche genauere Informationen zum Thema liefert und in der man noch Nichts genaueres weiß über die Oracle Datenbank selbst, nur dass diese aktuell untersucht wird.

Für eine PostgreSQL-Datenbank ist kein Datenbankpatch erforderlich.

Betriebssystemupdates

Generell gilt hier, dass es noch keine allgemeine Lösung der Hardwareprobleme in Software existiert, die alle möglichen Angriffsszenarien abdecken und somit müssen weitere Nachrichten zu diesem Thema abgewarten werden. Viele Betriebssysteme haben schon eine recht hohe Abdeckung was das Schließen der Lücken durch Patches betrifft, was aber nicht von Anfang an reibungslos funktioniert hat, wie bei Heise nachzulesen ist.

Für Oracle Linux sind Version 6 und 7 mit sowohl RHEL-kompatiblem Kernel als auch UEK4 bereits gepatcht und es stehen Microcode-Updates für die meisten neueren CPUs bereit. Schwieriger gestaltet sich das Problem für einen Teilaspekt von Spectre, bei dem Userspace-Programme betroffen sind und die entsprechenden Sicherheitsmerkmale für die Indirect Branch Restricted Speculation (ibrs_enabled) nicht standardmäßig aktiv sind. Weitere Informationen und eine ausführliche Anleitung wie diese zu aktivieren sind liefert der RHN Artikel 3311301.

Sofern sie ein Windows-System verwenden, verweisen wir direkt auf die Seite von Microsoft, die Patches und Hinweise enthält.

Für die meisten Desktop-Anwendungen soll der Performanceeinbruch nicht so stark spürbar sein, jedoch soll es gerade bei der Verwendung von SSDs oder gar NVMe zu starken Einbußen kommen können, wie Heise hier schreibt.

Erste Benchmarks der Performanceeinbußen gibt es für Oracle und für PostgreSQL – wobei die Grundlast des Server nicht vernachlässigt werden darf, was TheRegister zusammengefasst hat.

Firmware-Update für Fujitsu Hardware

Für die von uns verkauften Fujitsu-Systeme kann man sich die entsprechende Firmware-Patchverfügbarkeit auf der Fujitsu-Seite anschauen. Zum heutigen Datum waren nur sehr wenige Firmware-Updates verfügbar, jedoch sind die meisten für KW05/2018 angekündigt.

Für Fujitsu-Storage-Lösungen, wie z. B. das beliebte Eternus SAN, wird es laut Fujitsu keine Patches geben, da diese zwar auch Intel-Prozessoren verwenden und somit betroffen wären, die Lücken jedoch nicht ausnutzbar sein sollen, weil es sich um geschlossene Systeme handelt.


Update 23.01.2018: Mittlerweile wurde das Intel-Microcode-Update wieder zurückgezogen wie Heise meldet.

Update 08.02.2018: Oracle hat mittlerweile die MOS Note 2347948.1 aktualisiert und die Datenbank als nicht angreifbar eingestuft. An dieser Stelle kann argumentiert werden, ähnlich wie Fujitsu und AVM, dass ein abgeschlossenes System wie ein Oracle Datenbankserver bzw. ein Oracle RAC, auf dem keine anderen Anwendungen und auch keine Desktop-Programme laufen als nicht angreifbar aus der Ferne gilt – ein Update wäre also nicht unbedingt notwendig. Nach wie vor ist kein neues Microcode-Update in RHEL oder Oracle Linux verfügbar, dass Variante 2 von SPECTRE verhindert. Ohne dieses Update beträgt der Performanceverlust bei Arbeitsspeicheroperationen ca. 2% – mit dem mittlerweile zurückgezogenen Mircocode-Update waren es 10%. Insgesamt kann man aber keine allgemeinen Zahlen für die Datenbank angeben, da die Performance stark von der Anwendung abhängt.