[SECURITY-L] Encontrada falha no Sun One

[Caio Souza]

Encontrada falha no Sun One 

Segunda-feira, 17 de Março de 2003 - 10h14 

IDG Now!

A empresa especializada em segurança @Stake anunciou que um dos módulos incluídos no servidor de aplicações Sun Microsystems One tem uma falha que pode ser explorada por invasores externos, que conseguiriam, através dela, controlar o funcionamento do servidor Web. 
A falha está no módulo Conector, uma interface plug-in de programação para aplicações do Netscape que são integradas ao servidor Web Sun One. Um indicador Uniform Resource Indicator (URI) em um pedido HTTP, gerenciado pelo módulo, pode causar a falha, segundo informou a @Stake. 
A falha afeta as versões 6.0 e 6.5 do Sun One Application Server. A correção para a versão 6.5 já está disponível em http://wwws.sun.com/software/download/products/3e3afb89.html. 
Apesar de não existir correção para a versão 6.0 a @Stake sugere algumas dicas como: 

- Escrever um módulo NSAPI para inspecionar o tamanho dos HTTP pedidos pelos URIs. 

- Encerrar a sessão Secure Sockets Layer (SSL) em um dispositivo antes do servidor Web Sun One e instalar um sistema de detecção de intrusão (IDS) para monitorar o tráfego. 

- Encerrar a sessão SSL em um proxy reverso que faça a validação dos dados em todos os cabeçalhos de pedidos HTTP. 
[ David Legard - IDG News Service, Australia ]

Notícia relacionada:
· Servidor Web da PeopleSoft tem falha de segurança 


Site relacionado:
· www.sun.com


 

http://idgnow.terra.com.br/idgnow/internet/2003/03/0034



---------------------------------
Busca Yahoo! 
O serviço de busca mais completo da Internet. O que você pensar o Yahoo! encontra.
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20030317/b06586f5/attachment.html>