English Datenschutz Kontakt Impressum T-Systems
T-Systems T-Systems
Home Home SSL Home
Mission
Preise
Probeabo Probeabo SSL Probeabo
Beispielmeldung
Bestellung
Kontakt
Kundenbereich
Meldungen
Nr.
Suche
Forum
Termine
Administration
Statistik
Beispielmeldung
Titel
Sun Java System Directory Server: Schwäche erlaubt Denial-of-Service Angriff


Datum 2007-03-26


Stand 2007-05-04


Betriebssystem(e)
Unix
Microsoft Windows


Software
Sun Java System Directory Server 5.1 Service Pack 3,
Sun Java System Directory Server 5.2,
Sun Java System Directory Server Enterprise Edition


Angriff
Ein entfernter anonymer Angreifer kann eine Schwäche in Sun Java System Directory Server zu einem Denial-of-Service Angriff nutzen.


Beschreibung
Der Sun Java System Directory Server bietet hochverfügbare, skalierbare und sichere Directory Services (LDAP), die sich einfach verwalten lassen.

Im Sun Java System Directory Server "ns-sldap" besteht eine Schwäche. Diese liegt im "clean-up" Code für einige Typen von fehlgeschlagenen Anfragen. Daher ist es möglich, dass ein Angreifer den Server dazu bringt, die "free()" Funktion für einen nicht initialisierten Speicherbereich aufzurufen. Dieses kann zu einer Referenzierung ungültiger Speicherbereiche und damit zu einem Denial-of-Service führen.

Ein Angreifer kann diese Schwäche zu einem Denial-of-Service Angriff nutzen.


Risiko*
Angriffswahrscheinlichkeit: MITTEL-HOCH
Schadenshöhe: MITTEL


Empfehlung
Kenntnis von dieser Schwäche ist zur Zeit die einzige zu empfehlende Maßnahme.

2007-05-04
Sun stellt Updates und Hotfixes bereit. Bitte aktualisieren Sie Ihre Installation. Die für Ihre jeweilige Umgebung geeignete Version entnehmen Sie bitte dem Advisory des Herstellers:
http://sunsolve.sun.com/search/
document.do?assetkey=1-26-102853


Information
Sun Alert Notification Alert-ID 102853 vom 2007-03-23:
http://sunsolve.sun.com/search/
document.do?assetkey=1-26-102853-1

2007-05-04
Sun Alert Notification Alert-ID 102853 Update vom 2007-05-04:
http://sunsolve.sun.com/search/
document.do?assetkey=1-26-102853-1


Referenz
http://cve.mitre.org/cgi-bin/
cvename.cgi?name=CVE-2006-4175

http://sunsolve.sun.com/search/
document.do?assetkey=102853-1


-----------------------------------------------------
* Die Angriffswahrscheinlichkeit wird durch den Nutzen Dritter (Motivation), den notwendigen Aufwand und die Möglichkeiten für einen Angriff bestimmt. Die Schadenshöhe wird durch den Aufwand zur Behebung des Schadens und die möglicherweise mittelbaren Auswirkungen des Schadens auf Geschäftsprozesse bestimmt. T-Systems legt "worst case" Annahmen zugrunde.

Copyright © 1999-2007 T-Systems.
Alle Rechte vorbehalten. Nachdruck und Weitergabe in jeder Form - auch auszugsweise- ohne schriftliche Erlaubnis verboten.

Die veröffentlichten Informationen beruhen auf vertrauenswürdigen und zuverlässigen Quellen oder sind überprüft worden. T-Systems kann für die Vollständigkeit, Genauigkeit und inhaltliche Richtigkeit der Informationen nur insoweit eine Haftung übernehmen, als grobe Fahrlässigkeit oder Vorsatz eine Haftung begründen. Jede darüber hinausgehende Haftung, insbesondere für mögliche Schäden, die durch den Gebrauch oder die Nichtverwertbarkeit der Informationen entstehen, wird ausgeschlossen.