Angeblich kritische LĂĽcke im Sun Java System Web Server
Ein kommerzielles Exploit-Paket enthält angeblich einen Zeroday-Exploit gegen Suns Web-Plattform.
Der Java System Web Server von Sun weist angeblich eine kritische Sicherheitslücke auf, die es sogar erlauben könnte, von außen Code ins System einzuschleusen und auszuführen. Die Firma Intevydis behauptet, ihr Produkt VulnDisco Pack Professional 8.12 enthalte einen Zero-Day-Exploit, der einen kritischen Fehler in Version 7.0 Update 6 (7.0U6) des Web-Servers auslöse.
Konkrete Informationen dazu sind bislang jedoch Mangelware. Bisher weiß man wenig mehr, als dass es sich um einen Pufferüberlauf handeln soll, der sich übers Netz ausnutzen lässt. Secunia und Vupen stufen das Problem in ihren Sicherheitsnotizen folgerichtig als kritisch ein; konkrete Tipps, wie man sich schützen kann, geben die Sicherheitsdienstleister jedoch bisher auch nicht. Eine Stellungnahme des Herstellers oder gar ein Fix ist uns bislang ebenfalls nicht bekannt.
Sun Java System Web Server ist der Nachfolger der Sun-ONE-Plattform und wird vor allem im Firmenumfeld für große Web-Applikationen eingesetzt. VulnDisco ist eine kommerziell vertriebene Sammlung von Exploits für die Schwachstellentestplattform Immunity Canvas – eine Art kommerzielles Metasploit. Darüber hinaus soll VulnDisco auch zwei bislang unbekannte Sicherheitsprobleme in Solaris/OpenSolaris demonstrieren.
(ju)