Im häufig als sichere Alternative zu den grafischen Browsern angepriesenen, textbasierten Webbrowser Lynx, hat iDefense eine Schwachstelle ausgemacht. Durch diese Schwachstelle könnten Angreifer beliebige Befehle mit den Rechten des surfenden Benutzers ausführen. Lynx erlaubt das Ausführen von lokalen cgi-bin-Programmen, die normalerweise auf ein bestimmtes Verzeichnis beschränkt sein sollten.

Diverse Linux-Distributoren geben dem Browser jedoch eine unsichere Grundkonfiguration vor. Das führt dazu, dass Webseiten jeden Befehl, auf den der Benutzer zugreifen kann, aufrufen könnten. iDefense zufolge sind unter anderem die Lynx-Pakete der Hersteller Red Hat, Gentoo und Mandriva betroffen. Die Pakete von OpenBSD und FreeBSD wurden beispielsweise ohne die so genannte lynxcgi-Option kompiliert und sind daher nicht anfällig.

Um das anfällige lynxcgi-Feature abzuschalten, schlägt iDefense als Workaround vor, in der Datei lynx.cfg die Zeile TRUSTED_LYNXCGI:none hinzuzufügen. Benutzer des Browsers sollten aktualisierte Pakete ihres Distributors einspielen oder den Workaround nutzen.

(rb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE