PresseBox
Pressemitteilung BoxID: 185963 (cirosec GmbH)
  • cirosec GmbH
  • Edisonstraße 21
  • 74076 Heilbronn
  • http://www.cirosec.de
  • Ansprechpartner
  • Daniela Strobel
  • +49 (7131) 59455-60

Kernel-Schwachstelle in Sun Solaris

Solaris Zonen sind kein unüberwindbarer Schutz

(PresseBox) (Heilbronn, ) cirosec, der Spezialist im IT-Sicherheitsbereich, warnt vor einer Schwachstelle im Kernel von Sun Solaris. Tobias Klein, Berater bei der cirosec GmbH, hat im Rahmen seiner Research-Tätigkeit eine Schwachstelle in Sun Solaris gefunden und nun veröffentlicht. Sie ermöglicht nicht nur einen Denial of Service des Systems, sondern auch die Ausführung von beliebigem Malicious Code im Kernel-Kontext.

Da alle Solaris Zones (Container) sich ein und denselben Kernel teilen, kann die Schwachstelle dazu missbraucht werden, um ausgehend von einer unprivilegierten Zone das komplette System lahm zu legen oder aus einer unprivilegierten Zone auszubrechen und somit das gesamte System (alle Zonen) zu kompromittieren. Bei der Schwachstelle handelt es sich um einen Integer Overflow bei der Verarbeitung von Multicast Filtern der IP-Komponente des Kernels.

Ein detailliertes technisches Advisory von Tobias Klein mit detaillierter Beschreibung und Lösungsmöglichkeiten findet sich unter: http://www.trapkit.de/...

Der inzwischen verfügbare Patch von Sun findet sich unter http://sunsolve.sun.com/...

cirosec GmbH

Die cirosec GmbH ist ein spezialisierter Anbieter von Beratung, Dienstleistung und Lösungen im Bereich der IT-Sicherheit. Das cirosec-Team zeichnet sich dabei durch seine zahlreichen Experten aus, die als Buchautoren, Dozenten oder Referenten internationaler Kongresse bekannt sind und den Kunden individuell mit technischem und strategischem Sachverstand beraten. Darüber hinaus verfügen sie über langjährige Erfahrung in der Konzeption und Integration von Sicherheitsprodukten in komplexen Umgebungen. Neben den klassischen Themen wie Netzwerksicherheit und Intrusion Prevention beschäftigt sich das Unternehmen sehr stark mit neuen Themen wie Web-Applikations-Sicherheit, Wireless Security, Sicherheit sensibler Daten und Verwundbarkeits-Management. Ein weiterer Schwerpunkt der Tätigkeit sind Sicherheitsüberprüfungen von Systemumgebungen und Anwendungen sowie Trainings.