Next Generation Security Software podała informację o usterce w mechanizmie wyszukiwania serwera webowego Sun iPlanet, która umożliwia napastnikowi wykonanie swojego kodu na zdalnym serwerach iPlanet.

Luka dotyczy serwerów webowych iPlanet wersji 4.1 i 6.0. Sun udostępnił już stosowne łatki programowe, uszczelniające lukę w obu wersjach serwera.

Mechanizm wyszukiwania iPlanet jest domyślnie wyłączony, jednak w przypadku jego włączenia przepełnienie bufora w parametrze "NS-rel-doc-name" może być wykorzystane do przejęcia kontroli nad wykonaniem tego procesu. Przejmując sterowanie napastnik ma możliwość wykonania dowolnego kodu w kontekście uprawnień, jakie przysługują administratorowi, a tym samym przejęcia kontroli nad serwerem.

Usterka, oceniana przez NGS Software na poziomie "wysokiego ryzyka", może być uszczelniona łatkami wydanymi przez Suna.

Użytkownicy iPlanet 4.1 mogą sprowadzić łatki, będące częścią Service Pack 10, spod adresuhttp://wwws.sun.com/software/download/download/5261.html.

Natomiast użytkownicy iPlanet 6.0, przemianowanego na Sun ONE Web Server 6.0, mogą sprowadzić Service Pack 3, zawierający stosowną łatkę, spod adresu:http://wwws.sun.com/software/download/download/5262.html .