Novells Netware voller Sicherheitslücken

Etliche bisher unbekannte Schwachstellen in Novells Netware 5.1 und 6.0 wurden gestern auf der Black Hat-Sicherheitskonferenz in Las Vegas bekannt. Das Beratungsunternehmen Rain Forest Puppy stellte eine Reihe von Exploits in den jeweiligen Default-Installationen des Server-Betriebssystems vor.

Im Vortrag "Novell -- The Forgotten OS" war die Rede von Lecks, die gezielt herbeigeführte Server-Abstürze, das Auslesen aller sicherheitskritischen NDS-Verzeichnisdaten und das Ausführen beliebiger Perl-Scripts unter Systemprivilegien ermöglichten. Die Handler vieler Webserver, die die Sprachen NetBasic, Java (JSP), Perl und andere NLM-Dienste (Netware Loadable Modules) verbinden, seien mit einem einfachen Buffer-Overflow zu crashen.

Betroffen sind laut Rain Forest Puppy alle drei verfügbaren Webserver. Der Consulter empfiehlt, alle NetBasic-, Perl- und .jsp-Handler von den laufenden Webservern, die auf bis zu elf Ports lauschen, zu entfernen, bis Novell mit entsprechenden Patches reagiert hat. Das Unternehmen hat schon während der Veranstaltung angekündigt, bis zum 5. August die Probleme zumindest teilweise zu beheben. (Lukas Grunwald) / (un)