Controlado desde el
19/10/97 por NedStat
|
Un fallo crítico en Sun ONE Application Server
|
|
VSantivirus No. 982 - Año 7 - Domingo 16 de marzo de 2003
Un fallo crítico en Sun ONE Application Server
http://www.vsantivirus.com/vul-sun-one.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Sun ONE Application Server (anteriormente conocido como iPlanet Application Server) proporciona servicios de aplicaciones de nivel empresarial y servicios Web.
Un fallo en este software, fabricado por Sun Microsystems, puede permitir que un atacante tome el control del sistema en forma remota, según fuera revelado este jueves por expertos de la compañía consultora en seguridad @Stake.
La vulnerabilidad es en el Sun ONE Application Server, y está identificada en el módulo Connector, un plugin de Netscape para el servidor que enlaza el Sun ONE Application Server con Sun ONE Web Server.
El módulo utiliza un búfer de tamaño fijo para capturar la información enviada al servidor. Si se envía una larga cadena de datos maliciosamente construida, un atacante puede llegar a sobrescribir datos vitales en el servidor, e incluso tomar el control de la computadora.
Se trata de un clásico desbordamiento de búfer que afecta el stack, el espacio de memoria reservada para almacenar las direcciones de retorno en tiempo de ejecución.
La empresa consultora @Stake, dice que avisó a Sun del problema, pero al no obtener respuesta, decidió hacer pública sus investigaciones y descubrimientos, para prevenir a los operadores de sitios Webs y empresas que utilicen este software, del potencial riesgo para sus sistemas. Esto da la posibilidad de que se tomen las medidas del caso a los efectos de minimizar los riesgos.
La falla afecta las versiones 6.0 y 6.5 del Application Server. @Stake dice que existe un parche para la versión 6.5 que corrige este problema, pero no hay solución para la versión 6.0.
Hace pocas horas, Sun afirmó que el parche para la versión 6.5 (un Service Pack), fue publicado el año pasado, cuando ya se conocía esta falla, aunque nunca fue hecha pública en ese entonces. Según Sun, un parche para la versión 6.0 nunca fue realizado por la poca cantidad de usuarios registrados que la utilizan aún. Lo que se recomienda es actualizarse a la versión 6.5 o superior.
Los voceros oficiales de Sun informan además que no han habido desde ese entonces a la fecha, reporte alguno de usuarios afectados por la falla aquí descripta.
Descarga de parche para la versión 6.5
Sun ONE Application Server, Enterprise Edition 6.5 Service Pack 1
http://wwws.sun.com/software/download/products/3e3afb89.html?tag=nl
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|