Solaris hat ein kritisches Leck
Das SANS Institute hat eine noch ungepatchte Lücke in Sun Solaris gemeldet, über den ein Angreifer die Kontrolle über das System erhalten kann.
Inzwischen hat Sun Microsystems den Fehler bestätigt und Anwender gewarnt. In den kommenden Tagen werde ein Patch verfügbar sein, teilt Sun mit. Offenbar entsteht das Leck beim Aufrufen des Netzwerkprotokolls Telnet während der Authentifizierung. Das Leck werde aber noch nicht aktiv ausgenutzt, teilte der Sicherheitsdienstleister mit. Betroffen sind die Solaris-Versionen 10 und 11.
Wie das SANS Institute erklärte, bedürfe es keines Exploits, um das Leck auszunutzen. Telnet ist in den Voreinstellungen von Solaris 10 aktiviert, nicht aber in der Beta-Version von Solaris 11. Über einen einfachen Trick, kann das System überlistet werden, so dass es weder Nutzername noch Passwort abfragt.
Nun raten die Sicherheitsexperten des Internet Storm Centers, die Telnet-Funktion von Solaris zu deaktivieren. Generell sollten Anwender, egal auf welchem System oder welcher Plattform sie sind, Telnet nicht mehr verwenden. Es sei veraltet. Es gebe keinen Grund, sich über Telnet an einem System anzumelden. Schließlich stehe SSH (Secure Shell) als sichere Alternative bereit.