Update schließt Sicherheitsleck in Darwin Streaming Server
Apple hat ein Update für den Darwin Streaming Server herausgegeben, das eine Sicherheitslücke schließt, über die Angreifer betroffenen Systemen Schadcode unterschieben können.
Für den Darwin Streaming Server, einer Open-Source-Software zum Verteilen von Multimedia-Datenströmen, hat Apple ein Update herausgegeben. Damit schließt der Hersteller Sicherheitslücken, durch die Angreifer Schadcode auf betroffenen Servern einschleusen können.
Der Fehler betrifft den integrierten Streaming Proxy, der Clients im Netz Zugang zu den RTSP-Datenströmen ermöglicht. Darin kann ein Angreifer mit manipulierten RTSP-Paketen einen Pufferüberlauf auslösen. Die Funktion is_command überprüft die Länge der Einträge vor einer Kopieroperation nicht. Bei einer setup-Anfrage kann ein Pufferüberlauf auftreten, wenn das Feld trackID mehr als 32 Werte enthält.
iDefense konnte den Fehler in Version 5.5.4 des Darwin Streaming Server ausmachen, jedoch nur in einer mit Standardoptionen selbst kompilierten Version – das Binärpaket von Apple enthielt die Schwachstelle dem Fehlerbericht zufolge nicht. Möglicherweise sind auch ältere Versionen von dem Fehler betroffen. Dennoch sollten Nutzer der Software das aktuelle Paket einspielen.
Siehe dazu auch:
- About the security content of Darwin Streaming Server 5.5.5, Sicherheitsmeldung von Apple
- Apple Darwin Streaming Proxy Multiple Vulnerabilities, Fehlermeldung von iDefense
(dmk)
