Atlanta (USA) – Potrebbero essere numerosi i server afflitti da una falla recentemente scoperta in Solaris dalla società di sicurezza Internet Security Systems (ISS). Nel bollettino di sicurezza di quest’ultima si apprende che la vulnerabilità affligge l’implementazione dell’X Window Font Service (XFS) di Sun, un servizio che ha il compito di servire i file dei font ai client che ne fanno richiesta.
ISS spiega che la falla, consistente in un buffer overflow, può essere sfruttata da remoto per eseguire sul sistema comandi arbitrari o causare un denial of service mandando in crash il servizio. Fortunatamente, visto che il servizio fs.auto non gira con i privilegi di superuser, l’aggressore non può ottenere l’accesso al sistema come utente root e deve quindi “limitarsi” a sfruttare la vulnerabilità qui descritta.
Il CERT, che sul problema ha pubblicato un avviso di sicurezza , sostiene tuttavia che i rischi siano elevati e che il numero di server afflitti dalla falla potrebbero essere moltissimi visto che il servizio XFS si trova integrato e attivato di default su tutte le versioni di Solaris, sia quelle per piattaforma Sparc che quelle per Intel.
A completa soluzione del problema ieri Sun ha rilasciato una patch scaricabile da qui .
Sun ha anche annunciato la disponibilità di una versione d’anteprima di Solaris 9 x86, un porting per la piattaforma Intel che l’azienda aveva deciso di sospendere e che, grazie ad una forte campagna di protesta degli utenti, ha recentemente riesumato . La versione definitiva dovrebbe arrivare a dicembre ma, a differenza di Solaris 8 x86, sarà a pagamento: il suo prezzo dovrebbe aggirarsi sui 99$ a processore.
La versione d’anteprima di Solaris 9 x86 può essere scaricata da qui ad un prezzo di 20$.