News-Meldung vom 06.08.2009 10:54 Uhr
Der Sicherheitsdienstleister Codenomicon hat auf Schwachstellen in den XML-Bibliotheken von Sun, der Apache Software Foundation und der Python Software Foundation hingewiesen, die sich für Denial-of-Service-Angriffe (DoS) auf Anwendungen ausnutzen lassen, die auf diesen Bibliotheken basieren. Codenomicon hat die Ankündigung der Lücke im Zusammenarbeit mit dem finnischen Computer Emergency Response Team (CERT-FI) koordiniert, über deren Website sich Näheres zu der Verwundbarkeit findet.
Demnach ist ein Fehler beim Parsen von XML-Dateien dafür verantwortlich, dass Angreifer beispielsweise mittels präparierter XML-Dateien eine Anwendung zum Absturz bringen können. Codenomicon schließt nicht aus, dass sich auf diese Weise auch Code in ein System schleusen und starten lässt. Bei SOAP-Servern ließe sich etwa die Lücke aus der Ferne ausnutzen. Der Dienstleister hatte die Lücken in den verschiedenen Bibliotheken beim Testen mit speziellen Fuzzing-Tools entdeckt.
Gerade durch die weite Verbreitung von XML zum Austausch strukturierter Daten schätzt Codenomicon die Sicherheitslücke als besonders gefährlich ein und rät Entwicklern, sobald wie möglich zu reagieren. Teilweise haben die betroffenen Unternehmen und Open-Source-Gruppierungen auf das Problem reagiert und Empfehlungen und Patches für die Lücke bereitgestellt.
Siehe dazu auch:
(ane)
Version zum Drucken Per E-Mail versenden Newsletter abonnieren
Permalink: http://heise.de/-750043
Mehr zum Thema Apache Software Foundation Python Java XML Sun
iOS, Android, Windows Phone 7 und HTML5 - das neue Sonderheft von heise Developer führt Einsteiger und Profis in die Programmierung mobiler Geräte ein.
