Author Topic: Kritische Sicherheitslücke in OFFSystem gefixt  (Read 1890 times)

0 Members and 1 Guest are viewing this topic.

Offline ContractSlayer

  • Elite
  • *****
  • Posts: 605
  • Karma: +4/-0
    • View Profile
Kritische Sicherheitslücke in OFFSystem gefixt
« on: June 22, 2008, 07:25:24 PM »
Über eine Schwachstelle in OFFSystem können Angreifer per Pufferüberlauf beliebigen Code einspeisen. Die neuste Version beseitigt diesen Mangel.

Laut einem Bericht der Sicherheitsexperten von Secunia tritt die Sicherheitslücke in OFFSystem vor Version 0.9.14 auf. Die Schwachstelle wird nicht im Detail beschrieben, sie soll jedoch durch einen Begrenzungsfehler bei der Verarbeitung von HTTP Kopfzeilen auftreten. Durch gezielte Manipulation solcher Kopfzeilen können Angreifer eine Denial-of-Service Attacke ausführen oder per Pufferüberlauf beliebigen Schadcode in ein betroffenes System einspeisen. In der neusten Version 0.9.14 von OFFSystem wird diese Sicherheitslücke geschlossen. (vgw)

Quelle:
http://www.tecchannel.de/sicherheit/news/1763351/


Ich gehe mal davon aus, dass mit 0.9 = 0.19 gemeint ist.
« Last Edit: June 22, 2008, 07:28:00 PM by ContractSlayer »

Offline Markus

  • Administrator
  • Elite
  • *****
  • Posts: 5740
  • Karma: +25/-8
    • View Profile
    • http://www.planetpeer.de
Re: Kritische Sicherheitslücke in OFFSystem gefixt
« Reply #1 on: June 22, 2008, 07:35:30 PM »
Laut einem Bericht der Sicherheitsexperten von Secunia tritt die Sicherheitslücke in OFFSystem vor Version 0.9.14 auf. Die Schwachstelle wird nicht im Detail beschrieben, sie soll jedoch durch einen Begrenzungsfehler bei der Verarbeitung von HTTP Kopfzeilen auftreten. (vgw)
Beim ersten Überfliegen des Artikels entstand bei mir der Eindruck, daß die Secunia-Leute die Sicherheitslücke in OFF entdeckt hätten. Mitnichten: Wenn man sich den Originalartikel von Secunia dazu durchliest, dann findet man den Hinweis, daß die Sicherheitslücke vom Anbieter (also von den OFF-Entwicklern selber) entdeckt und gemeldet wurde.

Das kommt halt davon, wenn einer beim anderen abschreibt, ohne selber recherchiert zu haben...;)



Cheers,
Markus