DoS-LĂĽcke in Suns Java System Directory Server
In Suns Java System Directory Server kann ein Fehler dazu fĂĽhren, dass Angreifer den Prozess zum Absturz bringen und so einen Denial-of-Service provozieren.
Der Sicherheitsdienstleister iDefense hat einen Fehler in Suns Java System Directory Server gemeldet, der dazu fĂĽhren kann, dass Angreifer den Prozess zum Absturz bringen und so einen Denial-of-Service provozieren. AuĂźerdem schlieĂźt iDefense nicht aus, dass auch Schadcode eingeschmuggelt und ausgefĂĽhrt werden kann.
Die Funktionen zum Aufräumen von Variablen und Zeigern nach erfolglosen Abfragen enthalten dem Sicherheitsdienstleister zufolge einen Design-Fehler, wodurch es unter Umständen dazu kommen kann, dass ein Aufruf von free() auf nicht initialisiertem Speicher stattfindet. Durch den dabei ausgelösten Speicherzugriffsfehler stürzt der Directory-Dienst ns-slapd ab, weitere Abfragen sind anschließend nicht mehr möglich. iDefense erwähnt die mögliche Ausführung von eingeschleustem Code, schränkt jedoch ein, dies nicht nachgewiesen zu haben.
Betroffen sind Sun ONE Directory Server 5.2 und Sun Java System Directory Server 5 2003Q4, 2004Q2, 2005Q1 sowie 2005Q4 auf allen verfĂĽgbaren Plattformen. Suns Fehlermeldung zufolge ist ein Patch fĂĽr die von iDefense bereits im August vergangenen Jahres gemeldete Schwachstelle in Arbeit, aber noch nicht fertiggestellt. Sun empfiehlt daher bis zur VerfĂĽgbarkeit eines Updates, den Dienst einfach neu zu starten, wenn er abgestĂĽrzt sein sollte.
Siehe dazu auch:
- Sun Java System Directory Server 5.2 Uninitialized Pointer Cleanup Design Error Vulnerability, Sicherheitsmeldung von iDefense
- The Directory Server ("ns-slapd") May Exit Unexpectedly When Handling Certain Queries, Fehlermeldung von Sun
(dmk)
