Menü

Novell schließt gefährliche Lücke in eDirectory-Server

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von

Ein Pufferüberlauf in Novells eDirectory-Server erlaubte Angreifern die Kontrolle über den Serverprozess, der unter Linux mit den Rechten des Superusers läuft. Der Hersteller hat diesen Fehler bereits im Dezember 2012 mit dem Update 8.8 SP7 patch 2 6989 behoben, die Informationen darüber aber erst jetzt öffentlich zugänglich gemacht.

Auslöser ist offenbar eine fehlerhafte Implementierung der Funktion KeyedObjectLogin, wie David Klein auf der Mailing-Liste Full Disclosure berichtet. Angreifer hätten volle Kontrolle über den Serverprozess erlangen können, der mit Root-Rechten läuft.

eDirectory hieß früher Novell Directory Services (NDS) und ist ein X.500-kompatibler Verzeichnisdienst. In der aktuellen Version lässt sich das Standardprotokoll LDAPv3 zur Abfrage benutzen. (ck)