Egy olyan hibát találtak a Sun Microsystems Web szerver szoftverében, melyet a rosszindulatú támadó kihasználva átveheti az irányítást a webszerver felett. - figyelmeztet egy biztonságtechnikával foglalkozó cég.A Cambridge, Mass.-illetőségű @Stake egy biztonsági hibajegyet adott ki késő csütörtökön, amelyben a Sun One Application Server biztonsági hibájára hivja fel a figyelmet. Egy biztonsági lyuk található a szoftver "Connector Module" részében, (egy Netscape szerver plug-in) amellyel a Sun ONE Application Server a Sun ONE Web Server kapcsolódik (régebben iPlanet Enterprise Server-ként is ismeretes volt).
"Ez egy tipikus verem puffer túlcsordulásos hiba, és a távoli támadó a hibát kihasználva a webszerver irányításához juthat" - áll az @Stake bejelentésében.
A cég azt állítja, hogy a hibáról már tavaly májusban értesítette a Sun-t, de azóta sem érkezett válasz.
A hiba a 6.0-ás és 6.5-ös Application Server-t érinti. Az @Stake szerint a patch elérhető a 6.5-höz (a Sun-tól), de ez nem jó a 6.0-hoz. A bejelentésben számos megkerülő megoldást (workaround) lehet találni a 6.0-hoz.
Forrás: ZDNet