Sun ma podobne kłopoty co HP
- Janusz Chustecki,
- 22.01.2004, godz. 12:32
Kilka dni po tym, gdy HP udostępnił poprawkę likwidująca nieszczelności dostrzeżone w systemie operacyjnym Tru64 Unix, identyczne kłopoty ma obecnie Sun.
Okazuje się, że w systemie operacyjnym Solaris 9, tak jak w True64 Unix, istnieją miejsca, które mogą być wykorzystane do przeprowadzania ataków na systemy i uzyskiwania do nich dostępu przez osoby nie mającego do tego uprawnień. Są to ataki typu Denial of Service, polegające na tym, że system odmawia świadczenia usług.
Nieszczelności w systemie Solaris 9 znajdują się w programach IPSec i SSH. Jak na ironię, są to programu służące do bezpiecznego przesyłania danych przez Internet.
Jak dotąd nie znane są szczegóły dotyczące nieszczelności znajdujących się w tych programach. Wiadomo tylko, że Sun przejrzał swoje oprogramowanie i opracował poprawkę przeznaczoną dla komputerów x86 pracujących pod systemem Solaris 9, informując jednocześnie, iż podobnych nieszczelności nie ma w jej innych systemach operacyjnych.
Poprawka aktualizuje oprogramowanie IKE (Internet Key Exchange), które jest oparte na tym samym kodzie, który został wykorzystany przez HP. A oto oficjalne wyjaśnienie: "oprogramowanie Internet Key Exchange użyte w systemie Solaris 9 wykorzystuje kod ASN.1, który jest dziełem SSH Inc. W pewnych okolicznościach może zdarzyć się tak, że nieuprawniony do tego, lokalny lub zdalny użytkownik może wyłączyć demona in.iked(1M), przeprowadzając w ten sposób atak DoS. Inny scenariusz polega na tym, że użytkownik, nie mając do tego uprawnień, uzyskuje dostęp do podstawowych zasobów systemu (root), wykorzystując fakt, iż w demonie in.iked(1M) bufor został w stu procentach zapełniony danymi”.
Teraz wypada tylko czekać, czy podobne kłopoty dotkną w najbliższych tygodniach innych producentów oprogramowania.