Der Server jabberd für das Instant-Messaging-Protokoll Jabber ist für drei Buffer-Overflows anfällig. Durch den Fehler kann der Server zum Absturz gebracht werden; wahrscheinlich lässt sich darüber auch Schadcode einschleusen.
Anzeige
Der Fehler in der Datei jid.c wird durch strcpy()-Anweisungen ausgelöst. Die Zielvariablen der Kopieranweisung sind für maximal 1024 Byte ausgelegt und lassen sich durch überlange Eingaben in die Felder "user", "host" und "resource" zum Überlauf bringen. Mit speziell präparierten Nachrichten könnte sich so auch Code in das System einschleusen und zur Ausführung bringen lassen.
Die Jabber-Entwickler stellen mit Version 2.0s9 ein Sicherheits-Release der Server-Software zur Verfügung, das diese Lücken nicht mehr aufweist und daher umgehend eingespielt werden sollte.
Quelle:heise.de