Web

Denial of Service: Unix-Benutzerführung ist unsicher

12.07.2002

MÜNCHEN (COMPUTERWOCHE) - Das CERT (Computer Emergency Response Team) warnt vor zwei Sicherheitslücken in der grafischen Unix-Benutzerführung CDE (Common Desktop Environment). Durch die Lecks können Angreifer Zugriff auf das Dateisystem betroffener Rechner erlangen und zum Beispiel DoS-Attacken (Denial of Service) starten. Außerdem können im Arbeitsspeicher gelagerte Daten überschrieben und dadurch ein Speicherüberlauf verursacht werden. Der Fehler sitzt in der "Tool-Talk"-Funktion, die als Kommunikationsschnittstelle für Anwendungen auf unterschiedlichen Hosts dient.

Betroffen sind alle Unix-Systeme, auf denen CDE als grafische Benutzerführung eingerichtet ist, unter anderem Caldera Open Unix und Unixware, die Systeme Tru64, HP-UX (Versionen 10.10, 10.20, 11.00 und 11.11) von Hewlett - Packard, AIX 4.3.3 und 5.1.0 von IBM sowie Sun Solaris der Versionen 2.5.1, 2.7, 7, 8 und 9. Die Sicherheitsexperten empfehlen, Patches der jeweiligen Hersteller einzuspielen oder Tool Talk zu deaktivieren. Weitere Informationen und eine Liste verfügbarer Bugfixes hat das CERT in einem Advisory zusammengestellt. (lex)