Fehler in SOAP-Servern ermöglicht Denial-of-Service-Angriff

Laut eines Advisories auf der Mailingliste Bugtraq gibt es eine Sicherheitslücke in mehreren SOAP-Servern, durch die Angreifer die Systeme mit speziellen Anfragen lahm legen können. SOAP (Simple Object Access Protocol) ist ein Protokoll für den Austausch strukturierter XML-Daten in verteilten Umgebungen. Die Sicherheitslücke besteht darin, dass Angreifer mit speziell manipulierten SOAP-Requests die Prozessoren der Server minutenlang voll auslasten können, was in einem Denial of Service resultiert.

Amit Klein von Sanctum hat die Sicherheitslücke festgestellt und für die SOAP-Server IBM WebSphere (5.0.0 bis 5.0.2.1), Microsoft ASP.NET Web Services, Macromedia ColdFusion MX (6.0 und 6.1) sowie Macromedia JRun 4 bestätigt. Möglicherweise seien aber auch andere SOAP-Server betroffen. IBM stellt Patches für WebSphere bereit, auch Macromedia hat Security-Updates für ColdFusion und JRun. Bei Microsoft ist man sich des Problems bewusst und arbeitet an einem Patch. In einem Knowledge-Base-Artikel geht Microsoft auf das Problem ein und beschreibt Schritte zur Absicherung von ASP.NET Web Services als Workaround. (pab)