Kritische Lücken in Netscape Security-Bibliotheken und Sun ONE Servern

Sicherheit

Das Internet Security-Unternehmen ISS X-Force hat eine gefährliche Lücke in den Netscape Network Security Services (NSS) Bibliotheken entdeckt, die Angreifern erlauben könnten, Server komplett zu kapern.

Der Fehler in den – im kommerziellen Bereich weit verbreiteten – Systemen Netscape Enterprise Server und Sun Open Net Environment (Sun ONE) kann der ISS X-Force zufolge dazu führen, dass fremder Code während einer SSLv2-Authentifizierung ausgeführt werden kann.

Die Sicherheitsfirma Secunia hat die Schwachstelle als extrem kritisch eingestuft. Der Angreifer kann bei der Aktivierung des SSLv2-Protokolls einen Buffer Overflow auslösen und das Gerät so zur Ausführung eines eigenen Codes bringen. Jede Information auf dem Server ist damit unsicher.

Weil SSL auf vielen Servern für sichere Kommunikation, etwa für E-Commerce, verwendet werde, sei der Fehler besonders gefährlich.

Betroffen sind alle Versionen des Netscape Enterprise Server (NES), der Netscape Personalization Engine (NPE), des Netscape Directory Servers (NDS) und des Netscape Certificate Management Servers (CMS). Nutzer von Suns iPlanet und Sun ONE sind ebenfalls dem Risiko ausgesetzt. ISS X-Force teilt auf ihren Seiten mit, dass jede Anwendung, die die NSS library suite und SSLv2-Verschlüsselung nutzt, angreifbar ist.

Im gleichen Zuge veröffentlichte Secunia eine separate Warnung zu einem Fehler in Sun Solaris Systemen mit dem Apache-Webserver. Die ebenfalls als kritische eingestufte Lücke erlaubt die Umgehung von Sicherheitsfunktionen, das Fälschen von Absender-Informationen und Denial-of-Service-Angriffe. Sun hat Patches für die Solaris-Version von Apache bereitgestellt. (mk)

Weitere Infos:

X-Force Security Alert


Secunia-Warnung über die Sun-Solaris-Lücke


Sun-Patches zur Solaris-Version von Apache

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen