Kritische Sicherheitslücke bei Sun- und Netscape-Webservern

Die Bibliothek für Network Security Services (NSS) basiert ursprünglich auf Code aus dem Netscape Navigator und dem Netscape Communicator und wurde vom Mozilla-Projekt weiterentwickelt. Die aufgetauchte Sicherheitslücke erlaubt es, einen Denial of Service zu erzeugen. In dessen Anschluss kann ein Angreifer beliebigen Code auf dem Webserver ausführen. Dazu muss eine überlange Hello-Message erstellt und gesendet werden. Um die Lücke auszunutzen, muss allerdings SSLv2 aktiviert sein.

Unter anderem verwenden Netscape Certificate Management System, Netscape Enterprise Server, Netscape Directory Server und der Netscape Messaging Server die Bibliothek zur Verschlüsselung. Auch diverse Sun-Server wie der Java-System-Web-Server (Sun ONE/iPlanet) 6.x nutzen sie.

Das Mozilla-Projekt hat bereits einen Patch zur Verfügung gestellt, diesen finden Sie auf dem FTP-Server von Mozilla. Netscape und Sun empfehlen zusätzlich SSLv2 zu deaktivieren, falls es nicht benötigt wird, oder den Zugriff auf SSL-basierte Dienste zu filtern.

Um über aktuelle Sicherheitslücken auf dem Laufenden bleiben, stellt Ihnen tecCHANNEL in Kooperation mit Secunia die Security Reports zur Verfügung. Sie können den Service auch als kostenlosen Newsletter abonnieren. (mja)