Kritische Lücken in Netscape Security-Bibliotheken und Sun ONE Servern

Manfred Kohlen,
Sicherheit

Der Fehler in den – im kommerziellen Bereich weit verbreiteten – Systemen Netscape Enterprise Server und Sun Open Net Environment (Sun ONE) kann der ISS X-Force zufolge dazu führen, dass fremder Code während einer SSLv2-Authentifizierung ausgeführt werden kann.

Die Sicherheitsfirma Secunia hat die Schwachstelle als extrem kritisch eingestuft. Der Angreifer kann bei der Aktivierung des SSLv2-Protokolls einen Buffer Overflow auslösen und das Gerät so zur Ausführung eines eigenen Codes bringen. Jede Information auf dem Server ist damit unsicher.

Weil SSL auf vielen Servern für sichere Kommunikation, etwa für E-Commerce, verwendet werde, sei der Fehler besonders gefährlich.

Betroffen sind alle Versionen des Netscape Enterprise Server (NES), der Netscape Personalization Engine (NPE), des Netscape Directory Servers (NDS) und des Netscape Certificate Management Servers (CMS). Nutzer von Suns iPlanet und Sun ONE sind ebenfalls dem Risiko ausgesetzt. ISS X-Force teilt auf ihren Seiten mit, dass jede Anwendung, die die NSS library suite und SSLv2-Verschlüsselung nutzt, angreifbar ist.

Im gleichen Zuge veröffentlichte Secunia eine separate Warnung zu einem Fehler in Sun Solaris Systemen mit dem Apache-Webserver. Die ebenfalls als kritische eingestufte Lücke erlaubt die Umgehung von Sicherheitsfunktionen, das Fälschen von Absender-Informationen und Denial-of-Service-Angriffe. Sun hat Patches für die Solaris-Version von Apache bereitgestellt. (mk)

Weitere Infos:

X-Force Security Alert

Secunia-Warnung über die Sun-Solaris-Lücke

Sun-Patches zur Solaris-Version von Apache

Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen