Kritischer Fehler in Suns LDAP-Implementierung

Der Sun Java System Directory Server enthält einen kritischen Fehler. Sendet ein Angreifer aus dem lokalen Netzwerk eine präparierte LDAP-Anfrage, kann er den Server zum Absturz bringen oder Zugriff auf das System erhalten.

Auslöser ist ein Begrenzungsfehler in der Zugangskontrolle der LDAP-Implementation, er tritt bei bestimmten Anfragen aus dem lokalen Netz auf. Wird nun eine Anfrage entsprechend präpariert, kann dies einen Pufferüberlauf erzeugen. Im Anschluss daran kann der komplette Dienst zum Absturz gebracht werden. Gefährlicher ist jedoch, dass der Angreifer auch beliebigen Code auf dem Server ausführen kann, er nutzt dabei den Rechtekontext des LDAP-Dienstes.

Das Lightweight Directory Access Protocol (LDAP) ist ein auf ASCII basierender und plattformunabhängiger Verzeichnisdienst, der im Netzwerk den Zugriff auf Informationen verschiedener Art zur Verfügung stellt.

Grundsätzlich sind sämtliche Betriebssysteme betroffen, auf denen der Java System Directory Server eingesetzt wird. Das US-CERT hat eine Vulnerability Note herausgegeben, in der die betroffenen Systeme einzeln aufgelistet sind. Sun hat bereits Updates für die verschiedenen Betriebssysteme bereitgestellt.

Weitere Informationen über aktuelle Sicherheitslücken und Updates erhalten Sie in unseren Security Reports, eine Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder tägliche Übersicht abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hochkritischen Lücken per Security Alert informieren zu lassen. (mja)

tecCHANNEL Buch-Shop

Literatur zum Thema Client Server

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50% billiger als Buch)

Downloads