Buffer Overflow im Sun ONE-/iPlanet-Web Server

Sun Microsystems muss eine Lücke im iPlanet Web Server schließen. Bei den betroffenen Versionen 4.1 und 6.0 (Sun ONE Web Server) ist unter Umständen ein Buffer Overflow möglich.

Der ungeprüfte Puffer steckt in der Suchfunktion des Webservers und dort im Parameter "NS-rel-doc-name". Die Suchfunktion ist standardmäßig deaktiviert; Administratoren, die sie aktiviert haben, müssen aber mit einem hohen Risiko rechnen, heißt es in einem Advisory von Next Generation Security Software.

Angreifer, denen es gelingt die Lücke zu nutzen, können Code mit Benutzerrechten des Administrators ausführen. Sun bietet Patches für die Lücke in Service Packs an. Benutzer der iPlanet-Version 4.1 finden das entsprechende Service Pack 10 auf dieser Webseite. Die Version 6.0, die Sun inzwischen Sun ONE Webserver nennt, werden hier fündig (Service Pack 3). (uba)