Buffer Overflow in Suns VPN-Schlüsselaustausch-Dienst

Sun hat ein Security Advisory veröffentlicht, das auf einen Fehler hinweist, mit dem der IKE-Dienst unter Solaris 9 auf allen Plattformen zum Stillstand kommt. Der Meldung zufolge schließt der Hersteller nicht aus, dass sich durch den Fehler auch beliebiger Code auf dem System ausführen lässt. Solaris 7 und 8 sind nicht betroffen. Schuld ist ein Buffer Overflow, der in seltenen Fällen bei der Verarbeitung von ASN.1-Paketen (Abstract Syntax Notation) auftreten kann.

Erstmalig trat der Fehler in ASN.1-Parsern in größerem Ausmaß in den TLS/SSL-Implementierungen diverser Hersteller auf. Anschließend wurde er in S/MIME-Produkten und kürzlich in H.323-unterstützenden Lösungen entdeckt. Da Sun zur Implementierung des IKE-Dienstes unter Solaris Programmteile von SSH Inc. verwendet hat, tritt der Fehler hier ebenfalls wieder auf. Sun empfiehlt für die SPARC-Plattform den Solaris 9 T-patch T113451-05 einzuspielen, für Intel-Plattformen steht der Patch 114435 bereit.

Siehe dazu auch: (dab)

• Security Alert von Sun