RealNetworks Helix Universal Server für DoS-Attacken anfällig
Ein Angreifer kann über das Netzwerk den Server mit speziellen HTTP-GET-Requests zum Absturz bringen.
Der Sicherheitsdienstleister iDEFENSE hat ein Security Advisory über eine Schwachstelle im RealNetworks Helix Universal Server veröffentlicht. Derzufolge kann ein Angreifer über das Netzwerk den Server mit speziellen HTTP-GET-Requests zum Absturz bringen. iDEFENSE hat dazu zwei Beispiele aufgeführt:
$ echo -e "GET_PARAMETER / RTSP/1.0\n\n" | nc -v localhost 554
$ echo -e "DESCRIBE / RTSP/1.0\nSession:\n\n" | nc -v localhost 554
Beide provozieren eine sogenannte Null-Pointer-Dereference, bei der der Versuch, auf freigegebenen Speicher zuzugreifen, zum Absturz führt. Allerdings müssen laut Advisory dazu die Optionen '--no-crash-avoidance' und '--no-auto-restart' aktiviert sein. Betroffen sind 9.0.2 für Linux und 9.0.1 für Windows, eventuell auch vorhergehende. RealNetworks hat die fehlerbereinigte Version 9.0.3 veröffentlicht.
Siehe dazu auch: (dab)
- Security Advisory von iDEFENSE
