Sicherheitsloch in Servern von RealNetworks
Eine Schwachstelle in den Servern zum Streaming im Internet ermöglicht es einem Angreifer, beliebige Code auf den Servern als Root auszuführen.
RealNetworks meldet eine Schwachstelle im Medien-Streaming-Server Helix Universal Server 9 und früheren Versionen, wie etwa RealSystem Server 7, 8 und RealServer G2. Der RealNetworks Proxy ist nicht betroffen. Der Fehler findet sich in einem Protokoll-Parser des View-Source-Plug-ins zur Darstellung der Format-Header von Media-Dateien. Werden in einer URL sehr viele spezielle Zeichenketten übertragen, so kann damit beliebiger Code eingeschleust und im Root-Kontext ausgeführt werden.
Ein Patch wird derzeit noch nicht bereitgestellt, nach Angaben von RealNetworks arbeitet man aber an einer neuen Version des Helix-Servers. Als Workaround empfiehlt der Hersteller das Plug-in "vsrcplin.so" (Unix) beziehungsweise "vsrcplin.dll" (Windows) aus dem Verzeichnis /Plugins zu entfernen und den Server neu zu starten. Das Content-Browsing ist dann nicht mehr verfügbar, weitere Funktionen wie On-Demand-Video, Live-Streaming, Logging und Authentifizierung werden davon aber nicht beeinflusst. (dab)
