Web

ISS warnt vor SSL-Leck in Web-Servern

25.08.2004

Der IT-Sicherheitsdienstleister Internet Security Systems (ISS)warnt vor einer Sicherheitslücke in den Netscape Security Services (NSS). Dabei handelt es sich um eine Implementierung der Secure Sockets Layer Version 2 (SSLv2), die unter anderem in den Web-Servern von Netscape (Enterprise Server, Personalized Engine, Directory Server) und Sun (Sun One, iPlanet) zum Einsatz kommen. Den Experten zufolge sind auch zahlreiche weitere Produkte betroffen, die die NSS-Bibliothek verwenden.

Ein Fehler in der Bearbeitung von SSL-Anfragen ermöglicht es Angreifern, einen Buffer Overflow (Speicherüberlauf) auszulösen und Schadroutinen auszuführen. Als Sofortmaßnahme empfiehlt ISS, SSLv2 zu deaktivieren.

Die Mozilla Foundation hat mittlerweile einen Patch (NSS 3.9.2) bereitgestellt, der die Sicherheitslücke beseitigen soll. (lex)