Sun Java System Directory Server está en el centro del huracán al haber sido descubiertas tres nuevas vulnerabilidades que ponen en entredicho la seguridad del paquete de software desarrollado por Sun Microsystems. En uno de los casos, el servidor podría ser víctima de ataques remotos que produjesen denegaciones de servicio o, lo que es aun peor, saltarse las restricciones de seguridad para campar a sus anchas por el sistema. Eso es lo que se deduce de un error grave presentado en el Directory Proxy Server del paquete de Java, el cual podría permitir que las operaciones de un sistema cliente se ejecutasen de forma temporal con los privilegios de otro usuario.
Este mismo módulo presenta un segundo fallo al procesar paquetes de datos mal construidos. Lo que facilitaría que el sistema fuese víctima de una ataque DoS (Denial of Service / Denegacion de Servicio) impidiendo que el servidor acepte nuevas conexiones de otros sistemas cliente. Para colmo de males, otro error descubierto en el mismo Directory Proxy Server también permitiría al atacante evitar el envío de resultados de peticiones a cliente «psearch» mediante el uso de un cliente de este tipo especialmente diseñado. Lo cual transformaría el complejo sistema en un caótico cúmulo de errores de devolución de resultados, en el caso de que el sistema tolerase la conexión de clientes.
Las versiones de Sun Java System Directory Server Enterprise Edition que se ven afectadas por el error en el Directory Proxy Server son las comprendidas entre la 6.0 y la 6.3.1. Las recomendaciones de la compañía desarrolladora para evitar estos fallos en los sistemas ya implantados, pasan por la actualización a Sun Java System Directory Server Enterprise Edition 6.3.1 para proceder a la instalación del parche 141958-01.
+info: Sun