Perle Sicherheitslücken Veröffentliching: Meltdown und Spectre

18.01.2018
Perle Systems, ein globaler Hersteller sicherer Device-Networking-Hardware, hat bestätigt, dass seine Produkte generell nicht von CVE-2017-5753 und CVE-2017-5715, zusammenfassend als Spectre bekannt, oder CVE-2017-5754, als Meltdown bekannt, betroffen sind.
Meltdown und Spectre

Um eine der Schwachstellen auszunutzen, muss der Angreifer in der Lage sein, einen handgemachten Code auf dem beeinträchtigten Gerät laufen zu lassen.

Die Meltdown-Schwachstelle erlaubt Angreifern die Hardwarebarrieren zwischen Speicher und Anwendungen, die auf dem Computer laufen, zu umgehen, was dem Angreifer Zugang zu Daten, Passwörtern und Kryptoschlüsseln verschafft.

Die Spectre-Schwachstelle bricht die Isolation zwischen Anwendungen, die ansonsten als fehlerfreie Programme erachtet werden würden. Dies veranlasst das Programm seine Geheimnisse und Daten anhand Verwendung anderer Prozesse innerhalb des Speichers freizugeben um auf die Anwendung zuzugreifen.

Um eine der Schwachstellen auszunutzen, muss der Angreifer in der Lage sein, einen handgemachten Code auf dem beeinträchtigten Gerät laufen zu lassen. Obwohl die Kombination des zugrundeliegenden Hauptprozessors mit dem Betriebssystem eines Produktes von diesen Schwachstellen beeinträchtigt werden kann, sind die meisten Produkte von Perle geschlossene Systeme, die dem Kunden nicht erlauben, individuelle Codes auf dem Gerät auszuführen, und sind daher nicht angreifbar. Es besteht kein Vektor um sie auszunutzen.

Perle IOLAN Serial Terminal Server sind standardmäßig geschlossene Systeme. Dennoch werden sie als möglicherweise angreifbar betrachtet, wenn ein Anwender anhand des Perle Software Development Kits einen eigenen, individuell geschrieben Code installiert hat, der einem nicht berechtigtem, lokalem Angreifer erlaubt, spekulative Ausführungsanweisungen auf modernen Mikroprozessor-Architekturen auszuführen um Seitenkanalinformation-Offenlegungsangriffe auszuführen.

Perle empfiehlt Kunden Device-Plug-Ins, die sie selber geschrieben und installiert haben, anhand der Perle SDK auf Schwachstellen zu überprüfen. Wenn Sie ein Geräte-Plug-In verwenden, das von Perle geliefert wurde, handelt es sich um ein geschlossenes System, das daher nicht angreifbar ist.

Produkte nur angreifbar, wenn Anwender eigene, individuelle Codes installieren
IOLAN DS / DGIOLAN SDS / SDG
IOLAN TS / TGIOLAN STS / STG
IOLAN SCS
Unangreifbarkeit der Produkte bestätigt
Industrial Ethernet SwitchesFiber Media Converters
Ethernet Copper ExtendersSerial and Parallel PCI Cards
Industrial Power SuppliesSFP and XFP Optical Transceiver Modules
Remote Power SwitchesPoE+ Injectors
Serial to Fiber ConvertersPSI-MODEM-SHDSL/SERIAL to Copper Extenders
PSM-ME-RS232/RS232-P Serial IsolatorsPSM-ME-RS232/RS485-P Serial Interface Converters
PSM-ME-RS485 RepeaterTC EXTENDER 2001 ETH-2S
Surge Protectors

Kontakt: pr(at)perle.com

Über Perle Systems:

https://www.perlesystems.de/news_events/news.shtmlhttps://www.perlesystems.de/Perle ist ein führender Anbieter zuverlässiger, und preislich wettbewerbsfähiger serieller, I/O, Ethernet und LWL Konnektivitätslösungen, die mit vielfältigen Features ausgestattet sind. Unternehmen der ganzen Welt vertrauen in unternehmenskritischen Situationen auf Perles Angebot bester Konnektivitätstechnologie.

Perles Produkte umfassen Terminal ServerConsole ServerDevice ServerEthernet I/O Device ServerSerielle KartenEthernet ExtenderMedienkonverter und Industrielle Ethernet Switches - die idealen Produkte für Unternehmen, die Netzwerkkonnektivität zwischen multiplen Standorten aufbauen, sichere übertragung kritischer und sensibler Informationen absichern, Netzwerkgeräte und - anwendungen aus der Ferne überwachen und verwalten möchten, und vieles mehr.

Quelle: Perle Systems


© copyright @ Bachert Datentechnik GmbH 2018