SunのJava Proxy Serverに脆弱性

Sun Java System Web Proxy Serverに脆弱性。修正した最新バージョンがリリースされた。

[ITmedia]

　Sun Microsystemsは米国時間の5月25日付で、キャッシュ／フィルタリングサーバの最新版となる「Sun Java System Web Proxy Server 4.0.5」をリリースした。リモートからの悪用が可能な深刻な脆弱性が修正されたバージョンであり、早急なアップデートが望ましい。

　セキュリティ企業のiDefenseによると、Sun Java System Web Proxy Server 4.0.4以前には、2種類の脆弱性が存在している。SOCKSプロキシデーモンにスタックベースのバッファオーバーフローが存在し、細工を施したパケットを受け取るとDoS状態が誘発されたり、最悪の場合は任意のコードが実行される恐れがある。

　Sunによると、SOCKSサーバはデフォルトではroot権限で動作する。また脆弱性のうち1つは、悪用する際に認証を経る必要があるのだが、デフォルト設定ではSOCKSサーバへのアクセスに際して認証は設けられていないという。

　SunではSPARC、x86、Linux、Windows、HP-UXおよびAIXの各プラットフォーム向けに最新版をリリースし、アップデートを推奨。即時のアップデートが困難な場合は、SOCKSサーバを停止するなどの回避策を取るよう挙げている。