Sybase stopft Löcher in Applikationsserver EAServer

Ein Sicherheits-Update des zu SAP gehörenden Herstellers Sybase für den EAServer schließt zwei Lücken, die sich aus der Ferne ausnutzen lassen. Laut Herstellerbericht können Angreifer eine Directory-Traversal-Lücke zum Auslesen beliebiger Dateien auf dem Server ausnutzen. Zudem ist es nach Angaben von Sybase möglich, unbefugt eigene Webdienste auf dem EAServer zu installieren. Damit lässt sich die Kontrolle über den Server erlangen.

Betroffen sind die Versionen 5.x und 6.x des EAServers auf allen unterstützen Plattformen. Updates korrigieren die Probleme. Da der EAServer Bestandteil anderer Produkte ist, finden sich die verwunbaren Versionen auch in Sybase Appeon 6.x, Sybase Replication Server 15.x und Sybase WorkSpace 2.x. (dab)