Sicherheitsloch in Servern von RealNetworks
Eine Schwachstelle in den Servern zum Streaming im Internet ermöglicht es einem Angreifer, beliebige Code auf den Servern als Root auszuführen.
RealNetworks meldet eine Schwachstelle im Medien-Streaming-Server Helix Universal Server 9 und frĂĽheren Versionen, wie etwa RealSystem Server 7, 8 und RealServer G2. Der RealNetworks Proxy ist nicht betroffen. Der Fehler findet sich in einem Protokoll-Parser des View-Source-Plug-ins zur Darstellung der Format-Header von Media-Dateien. Werden in einer URL sehr viele spezielle Zeichenketten ĂĽbertragen, so kann damit beliebiger Code eingeschleust und im Root-Kontext ausgefĂĽhrt werden.
Ein Patch wird derzeit noch nicht bereitgestellt, nach Angaben von RealNetworks arbeitet man aber an einer neuen Version des Helix-Servers. Als Workaround empfiehlt der Hersteller das Plug-in "vsrcplin.so" (Unix) beziehungsweise "vsrcplin.dll" (Windows) aus dem Verzeichnis /Plugins zu entfernen und den Server neu zu starten. Das Content-Browsing ist dann nicht mehr verfĂĽgbar, weitere Funktionen wie On-Demand-Video, Live-Streaming, Logging und Authentifizierung werden davon aber nicht beeinflusst. (dab)
