Netscape-Technik gefährdet Web-Server

Netscape Network Security Services (NSS) von der Mozilla Foundation hat eine Lücke, die es Hackern ermöglicht, einen Remote-Angriff auf Web-Server zu starten. Ein Fehler bei der Implementierung der NSS-Bibliothek der zweiten Version des Verschlüsselungsstandards Secure Socket Layer (SSLv2) bietet Angriffsfläche für den Netscape Enterprise Server und den Java System Web Server von Sun. NSS ist eine Sammlung von verschiedenen Bibliotheken, die für verschiedene Plattformen sichere Client- und Serveranwendungen unterstützen sollen. Die Bibliotheken werden unter anderem zum Beispiel bei SSLv2 und v3 genutzt.
Das Sicherheitsunternehmen Internet Security Systems (ISS), das über den Fehler berichtete, teilte zudem mit, dass auch andere Produkte, die das quelloffene Produkt NSS integriert haben, betroffen sind. Das Problem liegt in der Art, wie Anfragen für neue SSLv2-Sitzungen behandelt werden. Weil die NSS-Bibliothek nicht die Länge der Anfragen überprüft, kann ein Hacker einen Bufferoverflow über den Befehl ‘hello Message’ provozieren.

Ein Angreifer loggt sich dann mit den gleichen Rechten auf dem verwundbaren System ein, die auch der Webserver hat. Laut ISS haben in den meisten Microsoft-Umgebungen die Webserver alle System-Privilegien. Auf den Netscape Enterprise Server ist die SSLv2-Funktion jedoch meistens deaktiviert. Viele Unternehmen verwenden aber die Verschlüsselung, um kritische Daten über das Netz zu verschicken und aktivieren deshalb dieses Feature wieder. Zudem sind auch die Netscape Personalization Engine, der Director Server und der Certificate Management Server von dem Problem betroffen, erklärte das Sicherheitsunternehmen. Inzwischen hat die Mozilla Foundation einen Patch für das Problem veröffentlicht.