Fehler in Suns Java Web Console reißt Loch in Server

Sun hat Updates für die Sun Java Web Console veröffentlicht, um eine Sicherheitslücke zu schließen. Die Java Web Console bietet einen administrativen Management-Zugriff per Browser auf das System. Über die genaue Ursache des Problems gibt es wenig Informationen. Der Entdecker der Lücke, der Sicherheitsdienstleister n.runs, schreibt in seinem Fehlerbericht, dass eine Format-String-Schwachstelle im Logging fehlgeschlagener Anmeldeversuche der Grund für die Lücke sei. Demzufolge müsse ein Angreifer am System auch nicht angemeldet sein.

Laut Sun lassen sich über die Lücke nur der Console-Dienst zum Absturz bringen oder Daten ausspähen; n.runs geht aber davon aus, dass sich darüber auch Code einschmuggeln und starten lässt. Betroffen sind Java Web Console 2.2.2 bis einschließlich 2.2.5 sowie Solaris 10. Solaris 8 und 9 enthalten die Console standardmäßig nicht. Ab Solaris 10 11/06 soll der Fehler nicht mehr zu finden sein. In allen anderen Versionen sollen die Updates für x86 und SPARC das Problem beseitigen. Alternativ hilft auch das Abschalten des Loggings der Console mit /usr/sbin/smreg add -p -c logging.default.level=off

Siehe dazu auch:

• Security Vulnerability in the Sun Java Web Console May Allow Access to Privileged Data or Lead to Denial of Service, Fehlerbericht von Sun
• Sun Microsystems, Inc., Java Web Console Format string vulnerability, Fehlerbericht von n.runs

(dab)