Die Sicherheitsberatungsfirma @Stake hat in einem Bulletin Ende letzter Woche über ein Leck im Sun ONE Application Server informiert. Das Leck befindet sich im Connector Modul, einem Netscape Server Plug-in, das den Sun ONE Application Server mit dem Sun ONE Web Server verlinkt. Wird ein spezieller String an dieses Modul gesendet, könnte ein Angreifer Daten auf dem Server überschreiben und Kontrolle über den Rechner übernehmen. @Stake soll Sun offenbar bereits im letzten Mai über das Leck informiert haben, ohne jedoch je eine Antwort erhalten zu haben. Betroffen sind die Versionen 6.0 und 6.5 des Application Server. Für die Version 6.g gibt es einen Patch, nicht aber für die Version 6.0. Offenbar würden nicht mehr genügend User die Version 6.0 benutzen, so Sun. Bislang wurde das Leck noch nicht ausgenutzt, wird weiter informiert.
(mw)