Im häufig als sichere Alternative zu den grafischen Browsern
angepriesenen, textbasierten Webbrowser Lynx, hat iDefense
eine Schwachstelle ausgemacht. Durch diese Schwachstelle könnten
Angreifer beliebige Befehle mit den Rechten des surfenden Benutzers
ausführen. Lynx erlaubt das Ausführen von lokalen cgi-bin-Programmen,
die normalerweise auf ein bestimmtes Verzeichnis beschränkt
sein sollten.
Diverse Linux-Distributoren geben dem Browser jedoch eine unsichere
Grundkonfiguration vor. Das führt dazu, dass Webseiten jeden
Befehl, auf den der Benutzer zugreifen kann, aufrufen könnten.
iDefense zufolge sind unter anderem die Lynx-Pakete der Hersteller
Red Hat, Gentoo und Mandriva betroffen. Die Pakete von OpenBSD und
FreeBSD wurden beispielsweise ohne die so genannte lynxcgi-Option
kompiliert und sind daher nicht anfällig.
Um das anfällige lynxcgi-Feature abzuschalten, schlägt
iDefense als Workaround vor, in der Datei lynx.cfg die Zeile TRUSTED_LYNXCGI:none
hinzuzufügen. Benutzer des Browsers sollten aktualisierte Pakete
ihres Distributors einspielen oder den Workaround nutzen.
(rb, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|