[SECURITY-L] Encontrada falha no Sun One
Caio Souza
caio_sm em yahoo.com.br
Seg Mar 17 20:15:37 -03 2003
Encontrada falha no Sun One
Segunda-feira, 17 de Março de 2003 - 10h14
IDG Now!
A empresa especializada em segurança @Stake anunciou que um dos módulos incluídos no servidor de aplicações Sun Microsystems One tem uma falha que pode ser explorada por invasores externos, que conseguiriam, através dela, controlar o funcionamento do servidor Web.
A falha está no módulo Conector, uma interface plug-in de programação para aplicações do Netscape que são integradas ao servidor Web Sun One. Um indicador Uniform Resource Indicator (URI) em um pedido HTTP, gerenciado pelo módulo, pode causar a falha, segundo informou a @Stake.
A falha afeta as versões 6.0 e 6.5 do Sun One Application Server. A correção para a versão 6.5 já está disponível em http://wwws.sun.com/software/download/products/3e3afb89.html.
Apesar de não existir correção para a versão 6.0 a @Stake sugere algumas dicas como:
- Escrever um módulo NSAPI para inspecionar o tamanho dos HTTP pedidos pelos URIs.
- Encerrar a sessão Secure Sockets Layer (SSL) em um dispositivo antes do servidor Web Sun One e instalar um sistema de detecção de intrusão (IDS) para monitorar o tráfego.
- Encerrar a sessão SSL em um proxy reverso que faça a validação dos dados em todos os cabeçalhos de pedidos HTTP.
[ David Legard - IDG News Service, Australia ]
Notícia relacionada:
· Servidor Web da PeopleSoft tem falha de segurança
Site relacionado:
· www.sun.com
http://idgnow.terra.com.br/idgnow/internet/2003/03/0034
---------------------------------
Busca Yahoo!
O serviço de busca mais completo da Internet. O que você pensar o Yahoo! encontra.
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20030317/b06586f5/attachment.html>
Mais detalhes sobre a lista de discussão SECURITY-L